Bugfix für Domino-Sicherheitsloch lässt auf sich warten

Der Bug-Fix für das Sicherheitsloch in Domino-Servern, die auch als Web-Server aktiv sind, verzögert sich noch um mindestens eine Woche.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Lesezeit: 2 Min.

Am 9. Januar hatte Katherine Spanbauer von Lotus Development auf der Iris-Webseite Notes.Net das als "Domino Server Directory Traversal Vulnerability" bezeichnete Sicherheitsloch in einer offiziellen Stellungnahme bestätigt (siehe dazu den Bericht auf heise online). Den angegebenen Workaround für Domino-Server, die auch als Web-Server aktiv sind, änderte Lotus allerdings noch einmal ab. Der aktuelle Stand hat sich seit dem 11. Januar auf der Lotus-Webseite nicht mehr geändert. In einem internen Dokument hatte Spanbauer den 13. Januar als Bereitstellungstermin für einen Fix angekündigt. Nun ist eine weitere Woche verstrichen, ohne dass Iris die entsprechende Version 5.0.6a von Domino/Notes bereitgestellt hat.

Auf der Lotusphere war zu erfahren, dass sich der Fix nochmals um eine Woche verschieben wird, da die Lotus-Tochter Iris Associates einen kompletten Regressionstest fährt. Spanbauer erwartet, dass alle Kunden möglichst schnell auf das Release 5.0.6a umstellen werden.

Der Fehler betrifft nur die Domino-Version 5.x. Auch wenn Lotus keine Einschränkungen bezüglich der Betriebssysteme macht, ließ sich das Sicherheitsloch bisher nur auf Windows-Plattformen nachstellen. Abweichend von der Lotus-Empfehlung, alle URLs mit dem Muster *..* zum Beispiel auf die Startadresse umzuleiten, empfehlen einige Anwender, stattdessen für alle Directories */.NSF/*, */.NS4/* und */.BOX/* eine File Protection einzurichten, da das Muster *..* in einigen Webanwendungen vorkommt. Dass Lotus generell ein Unterbinden aller URLs mit zwei Punkten empfiehlt, deutet möglicherweise darauf hin, dass das ganze Ausmaß des Sicherheitslochs nicht bekannt ist. Es empfiehlt sich deshalb, bis zum Erscheinen von 5.06a alle Access-Logs eines Domino-Servers genau zu kontrollieren.

Der aktuelle Stand des Fixes ist jederzeit unter der SPR-Nummer KSPR4SPQ5S in der Notes/Domino Fix List Database auf Notes.Net einzusehen. (Volker Weber) / (jk)