Domino 9 und frühere Versionen > ND6: Administration & Userprobleme

Notespassword bei Änderung durch den User mitloggen

(1/3) > >>

feargus:
Offensichtlich gibt es eine Interessante Sicherheitslücke in Lotus Notes. Durch simples setzten von 2 Parametern in der Notes.ini lässt sich das Noteskennwort bei der änderung durch den User mitloggen.

http://www-1.ibm.com/support/docview.wss?uid=swg21196682

m3:
Wo ist da die Sicherheitslücke?

Driri:
Ich denke, Du beziehst Dich auf diesen Satz hier :


--- Zitat ---If a match for your new password was found during password verification, this will be indicated in the text of the outfile.

--- Ende Zitat ---

Für mich heißt das, daß ich Informationen darüber erhalte, ob das Kennwort in einer der genannten Quellen gefunden wurde. Das heißt aber nicht, daß das Kennwort auch im Debugfile angezeigt wird.

feargus:
Pasword ist Katzekatze

Beispiel aus dem Log

checking Katzekatze
checking Katzekatz
checking Katzeka
usw...

somit steht das neue Password im Klartext im Logfile

m3:
In einem Logfile, auf das nur der Admin zugriff hat (haben sollte) und selbst das nur, nachdem der Admin einen Ini-Parameter gesetzt hat.

Also da müsstest Du bei allen Produkten, die ein derartiges Flaghaben, dieses als SicherheitsLÜCKE definieren. Damit wäre etwa ein "-s" bzw. ein "LogLevel" größer 2 bei sshd ebenfalls eine Sicherheitslücke.

Einem Admin muss man vertrauen können und dieser sollte wissen, welche Optionen er bei einem Produkt setzt und welche nicht. Aber Sicherheitslücke ist der INI-Paramter sicher nicht.

Navigation

[0] Themen-Index

[#] Nächste Seite