AtNotes Übersicht Willkommen Gast. Bitte einloggen oder registrieren.
01.09.14 - 13:10:16
Übersicht Hilfe Regeln Glossar Suche Einloggen Registrieren
News:
Schnellsuche:
+  Das Notes Forum
|-+  Lotus Notes / Domino 6
| |-+  ND6: Administration & Userprobleme (Moderatoren: _Arne_, eknori, Glombi)
| | |-+  Notespassword bei Änderung durch den User mitloggen
« vorheriges nächstes »
Seiten: [1] Nach unten Drucken
Autor Thema: Notespassword bei Änderung durch den User mitloggen  (Gelesen 3322 mal)
feargus
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 144


Und welche Farbe soll die Datenbank haben?


« am: 05.07.07 - 16:09:14 »

Offensichtlich gibt es eine Interessante Sicherheitslücke in Lotus Notes. Durch simples setzten von 2 Parametern in der Notes.ini lässt sich das Noteskennwort bei der änderung durch den User mitloggen.

http://www-1.ibm.com/support/docview.wss?uid=swg21196682
Gespeichert

2 x 6.5.5 Mail Server on Windos 2003
2 x 6.5.5 Application Server on Windos 2003

Clients:
500 User (Win.XP) 6.5.5
m3
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 7965


Non ex transverso sed deorsum!


WWW
« Antworten #1 am: 05.07.07 - 16:12:02 »

Wo ist da die Sicherheitslücke?
Gespeichert

HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai
Driri
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6532



« Antworten #2 am: 05.07.07 - 16:17:07 »

Ich denke, Du beziehst Dich auf diesen Satz hier :

Zitat
If a match for your new password was found during password verification, this will be indicated in the text of the outfile.

Für mich heißt das, daß ich Informationen darüber erhalte, ob das Kennwort in einer der genannten Quellen gefunden wurde. Das heißt aber nicht, daß das Kennwort auch im Debugfile angezeigt wird.
Gespeichert

Gruß, Ingo
------------------------------------------------------------
11 Domino-Server (8.5.3 auf i5 und Windows)
~3000 Notes 8.5.3

IBM Content Manager / Content Collector für Mailarchivierung
ClearSwift Appliance (Anti-Spam, Anti-Virus)
We4IT docLinkr

Lotus Notes Traveler 8.5.3 UP2 IF4
ca. 1100 Smartphones (Android) und Tablets (iPad)
feargus
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 144


Und welche Farbe soll die Datenbank haben?


« Antworten #3 am: 05.07.07 - 16:39:00 »

Pasword ist Katzekatze

Beispiel aus dem Log

checking Katzekatze
checking Katzekatz
checking Katzeka
usw...

somit steht das neue Password im Klartext im Logfile
Gespeichert

2 x 6.5.5 Mail Server on Windos 2003
2 x 6.5.5 Application Server on Windos 2003

Clients:
500 User (Win.XP) 6.5.5
m3
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 7965


Non ex transverso sed deorsum!


WWW
« Antworten #4 am: 09.07.07 - 09:10:01 »

In einem Logfile, auf das nur der Admin zugriff hat (haben sollte) und selbst das nur, nachdem der Admin einen Ini-Parameter gesetzt hat.

Also da müsstest Du bei allen Produkten, die ein derartiges Flaghaben, dieses als SicherheitsLÜCKE definieren. Damit wäre etwa ein "-s" bzw. ein "LogLevel" größer 2 bei sshd ebenfalls eine Sicherheitslücke.

Einem Admin muss man vertrauen können und dieser sollte wissen, welche Optionen er bei einem Produkt setzt und welche nicht. Aber Sicherheitslücke ist der INI-Paramter sicher nicht.
Gespeichert

HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai
Andysun
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 196

Möge die Macht mit dir sein.


« Antworten #5 am: 12.07.07 - 10:22:22 »

Offensichtlich gibt es eine Interessante Sicherheitslücke in Lotus Notes. Durch simples setzten von 2 Parametern in der Notes.ini lässt sich das Noteskennwort bei der änderung durch den User mitloggen.

http://www-1.ibm.com/support/docview.wss?uid=swg21196682

Leider geht der Link nicht mehr.

Beste Grüsse

Andysun
Gespeichert
m3
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 7965


Non ex transverso sed deorsum!


WWW
« Antworten #6 am: 12.07.07 - 10:29:54 »

Gelobt sei Google-Cache:
Zitat
Error: "The Password You Specified Is Not Complex Enough" when Attempting to Change Your User ID Password.
 
Problem
When you attempt to change the password for your user ID file, the following error displays:


      "The password you specified is not complex enough."


Previously, similar passwords have worked for you. What can be done to troubleshoot this?
 
Solution
The way Notes/Domino determines if a password is complex enough is to search multiple sources on the client. If the password or any part of it is found in the dictionary, clipboard or the cache.ndk, it could fail the complexity test.

To troubleshoot this you can apply the following parameters to your client's Notes.ini file:


      KFM_ShowEntropy=1

      Debug_Outfile=<path to outfile> (e.g., Debug_Outfile=c:\password.txt)


This parameter will print to the outfile the steps that are taken during verification of a password. After attempting to change your password and you receive the error again, shut down your Notes client and open the debug outfile that was generated. If a match for your new password was found during password verification, this will be indicated in the text of the outfile.
Gespeichert

HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai
hallo.dirk
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 1935

Admin forever ;)


« Antworten #7 am: 19.07.07 - 23:22:36 »

Update:
http://www.heise.de/newsticker/meldung/92941
Gespeichert

Gruss
Dirk

------------------------------------------------------------
QuickR
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Powertools von Helpsoft
Blackberry Enterprise
DSO Storage Optimizer von Proclients
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) von Midpoints
WernerMo
@Notes Preisträger
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 3036



« Antworten #8 am: 20.07.07 - 08:48:12 »

hallo Dirk

danke, das hätte ich sonst übersehen heute morgen.

Gruß Werner
Gespeichert

Gruß Werner
  o                                                  o    Aug/Sept gemeinsam Treffen im Breisgau?
 /@\  Nächster @Notes-Stammtisch  /@\  Nürnberg  Sept 2014?
_/_\__________________________/_\_ Christkindl. NUE 5.12.2014
Driri
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6532



« Antworten #9 am: 20.07.07 - 09:17:38 »

Hier übrigens die Stellungnahme von IBM in Form einer Technote :

http://www-1.ibm.com/support/docview.wss?rs=475&uid=swg21266085
Gespeichert

Gruß, Ingo
------------------------------------------------------------
11 Domino-Server (8.5.3 auf i5 und Windows)
~3000 Notes 8.5.3

IBM Content Manager / Content Collector für Mailarchivierung
ClearSwift Appliance (Anti-Spam, Anti-Virus)
We4IT docLinkr

Lotus Notes Traveler 8.5.3 UP2 IF4
ca. 1100 Smartphones (Android) und Tablets (iPad)
feargus
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 144


Und welche Farbe soll die Datenbank haben?


« Antworten #10 am: 23.07.07 - 15:15:30 »

Nachtrag: lt. Aussagen von IBM soll in Version 7.03 der Parameter nicht mehr vorhanden sein.

Mal abwarten was draus wird Cheesy
Gespeichert

2 x 6.5.5 Mail Server on Windos 2003
2 x 6.5.5 Application Server on Windos 2003

Clients:
500 User (Win.XP) 6.5.5
Jag_rip
Junior Mitglied
**
Offline Offline

Geschlecht: Männlich
Beiträge: 89


veni, quaero, consulo...


« Antworten #11 am: 26.07.07 - 11:03:46 »

Hier übrigens die Stellungnahme von IBM in Form einer Technote :

http://www-1.ibm.com/support/docview.wss?rs=475&uid=swg21266085

mmmhh ich liebe die IBM seite, 6 Tage nach posten des Links gibts den Artikel bereits nicht mehr.  Angry
Gespeichert

Gruss Yves
______________________________________________

Diverse Kundensysteme mit Dominoservern v. 8.0.1 bis 8.5.2
... und noch ne Handvoll Blackberries sowie Traveler ...
Seiten: [1] Nach oben Drucken 
« vorheriges nächstes »
Gehe zu:  


Einloggen mit Benutzername, Passwort und Sitzungslänge

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006, Simple Machines Prüfe XHTML 1.0 Prüfe CSS
Impressum Atnotes.de - Powered by Syslords Solutions - Datenschutz | Partner: