Sicherheitsloch bei Lotus Domino (Update)

Am 5. Januar hat Georgi Guninski ein schwerwiegendes Sicherheitsloch im Domino-Server von Lotus publiziert. Anders als in diesem Bericht dargestellt, erschienen zuerst jedoch zwar alle Domino-Server der Versionen 4.x und 5.x auf Windows-Servern betroffen zu sein, nicht aber auf anderen Plattformen. Inzwischen gab Lotus bekannt, dass die Versionen 4.x das Sicherheitsloch nicht aufweisen, dafür aber die Domino-Server der Versionen 5.x auf allen Betriebssystemplattformen.

Mittels einer geeigneten URL lassen sich von den betroffenen Domino-Servern mit aktivem HTTP-Task Dateien außerhalb des Web-Roots herunterladen – sei es eine Notes.ini oder eine Server.id. Das Sicherheitsloch lässt sich mit Microsofts Internet Explorer nicht nachstellen, da dieser Browser die erforderliche URL selbstständig verändert. Der Netscape Navigator dagegen gibt die URL unverändert weiter. Lotus arbeitet an einem Fix, der auf Notes.net veröffentlicht werden soll.

Auf Domino-5.x-Servern lässt sich das Sicherheitsloch anscheinend durch die mit Version 5 eingeführte File Protection schließen. Dazu muss man im Administrator-Client drei File Protections für die Pfade /.nsf, /.box und /.ns4 erzeugen. Alternativ lässt sich natürlich auch der HTTP-Task komplett stoppen, wenn man auf die Funktion als Web-Server vorerst verzichten kann. (Volker Weber) / (jk)