Notespassword bei Änderung durch den User mitloggen

[feargus]

Offensichtlich gibt es eine Interessante Sicherheitslücke in Lotus Notes. Durch simples setzten von 2 Parametern in der Notes.ini lässt sich das Noteskennwort bei der änderung durch den User mitloggen.

http://www-1.ibm.com/support/docview.wss?uid=swg21196682

[m3]

Wo ist da die Sicherheitslücke?

[Driri]

Ich denke, Du beziehst Dich auf diesen Satz hier :

If a match for your new password was found during password verification, this will be indicated in the text of the outfile.

Für mich heißt das, daß ich Informationen darüber erhalte, ob das Kennwort in einer der genannten Quellen gefunden wurde. Das heißt aber nicht, daß das Kennwort auch im Debugfile angezeigt wird.

[feargus]

Pasword ist Katzekatze

Beispiel aus dem Log

checking Katzekatze
checking Katzekatz
checking Katzeka
usw...

somit steht das neue Password im Klartext im Logfile

[m3]

In einem Logfile, auf das nur der Admin zugriff hat (haben sollte) und selbst das nur, nachdem der Admin einen Ini-Parameter gesetzt hat.

Also da müsstest Du bei allen Produkten, die ein derartiges Flaghaben, dieses als SicherheitsLÜCKE definieren. Damit wäre etwa ein "-s" bzw. ein "LogLevel" größer 2 bei sshd ebenfalls eine Sicherheitslücke.

Einem Admin muss man vertrauen können und dieser sollte wissen, welche Optionen er bei einem Produkt setzt und welche nicht. Aber Sicherheitslücke ist der INI-Paramter sicher nicht.

[Andysun]

Offensichtlich gibt es eine Interessante Sicherheitslücke in Lotus Notes. Durch simples setzten von 2 Parametern in der Notes.ini lässt sich das Noteskennwort bei der änderung durch den User mitloggen.

http://www-1.ibm.com/support/docview.wss?uid=swg21196682

Leider geht der Link nicht mehr.

Beste Grüsse

Andysun

[m3]

Gelobt sei Google-Cache:

Error: "The Password You Specified Is Not Complex Enough" when Attempting to Change Your User ID Password.
 
Problem
When you attempt to change the password for your user ID file, the following error displays:


      "The password you specified is not complex enough."


Previously, similar passwords have worked for you. What can be done to troubleshoot this?
 
Solution
The way Notes/Domino determines if a password is complex enough is to search multiple sources on the client. If the password or any part of it is found in the dictionary, clipboard or the cache.ndk, it could fail the complexity test.

To troubleshoot this you can apply the following parameters to your client's Notes.ini file:


      KFM_ShowEntropy=1

      Debug_Outfile=<path to outfile> (e.g., Debug_Outfile=c:\password.txt)


This parameter will print to the outfile the steps that are taken during verification of a password. After attempting to change your password and you receive the error again, shut down your Notes client and open the debug outfile that was generated. If a match for your new password was found during password verification, this will be indicated in the text of the outfile.

[hallo.dirk]

Update:
http://www.heise.de/newsticker/meldung/92941

[WernerMo]

hallo Dirk

danke, das hätte ich sonst übersehen heute morgen.

Gruß Werner

[Driri]

Hier übrigens die Stellungnahme von IBM in Form einer Technote :

http://www-1.ibm.com/support/docview.wss?rs=475&uid=swg21266085

[feargus]

Nachtrag: lt. Aussagen von IBM soll in Version 7.03 der Parameter nicht mehr vorhanden sein.

Mal abwarten was draus wird

[Jag_rip]

Hier übrigens die Stellungnahme von IBM in Form einer Technote :

http://www-1.ibm.com/support/docview.wss?rs=475&uid=swg21266085

mmmhh ich liebe die IBM seite, 6 Tage nach posten des Links gibts den Artikel bereits nicht mehr.