Schwachstelle in Notes-Installationen unter Linux
Lotus Domino für Linux hat eine Schwachstelle, mit der es lokalen, nicht privilegierten Benutzern möglich ist, höhere Zugriffsrechte zu erhalten.
Lotus Domino für Linux hat eine Schwachstelle, mit der es lokalen, nicht privilegierten Benutzern möglich ist, höhere Zugriffsrechte zu erhalten. Einem Advisory auf Bugtraq zufolge werden die Konfigurationsdateien /local/notesdata/notes.ini und /opt/lotus/LPSilent.ini mit Lese- und Schreibrechten für jedermann (world writable) installiert. Ein lokaler Benutzer kann darin Änderungen vornehmen und beispielsweise Pfade zu Skripten verändern, die Domino aufruft. Zeigen diese auf Skripte des Benutzers, so führt das System diese im Kontext von Lotus Domino aus, in der Regel mit dem Account notes. Da dieser höhere Rechte hat, ist der Zugriff auf Informationen möglich, für die der Benutzer selbst keine Rechte besitzt.
Betroffen ist Domino Version 6.0.2. Da der Fehler eigentlich auf der falschen Rechtevergabe der Installationsroutine basiert, schlägt der Autor des Advisory vor, die Rechte auf die entsprechenden Konfigurationsdateien nachträglich selbst richtig zu setzen, sodass nur noch der User "notes" darauf zugreifen kann.
Siehe dazu auch: (dab)
- Security Advisory auf Bugtraq-Mirror
