Autor Thema: Notespassword bei Änderung durch den User mitloggen  (Gelesen 6840 mal)

Offline feargus

  • Aktives Mitglied
  • ***
  • Beiträge: 144
  • Geschlecht: Männlich
  • Und welche Farbe soll die Datenbank haben?
Offensichtlich gibt es eine Interessante Sicherheitslücke in Lotus Notes. Durch simples setzten von 2 Parametern in der Notes.ini lässt sich das Noteskennwort bei der änderung durch den User mitloggen.

http://www-1.ibm.com/support/docview.wss?uid=swg21196682
2 x 6.5.5 Mail Server on Windos 2003
2 x 6.5.5 Application Server on Windos 2003

Clients:
500 User (Win.XP) 6.5.5

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Notespassword bei Änderung durch den User mitloggen
« Antwort #1 am: 05.07.07 - 16:12:02 »
Wo ist da die Sicherheitslücke?
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Driri

  • Gast
Re: Notespassword bei Änderung durch den User mitloggen
« Antwort #2 am: 05.07.07 - 16:17:07 »
Ich denke, Du beziehst Dich auf diesen Satz hier :

Zitat
If a match for your new password was found during password verification, this will be indicated in the text of the outfile.

Für mich heißt das, daß ich Informationen darüber erhalte, ob das Kennwort in einer der genannten Quellen gefunden wurde. Das heißt aber nicht, daß das Kennwort auch im Debugfile angezeigt wird.

Offline feargus

  • Aktives Mitglied
  • ***
  • Beiträge: 144
  • Geschlecht: Männlich
  • Und welche Farbe soll die Datenbank haben?
Re: Notespassword bei Änderung durch den User mitloggen
« Antwort #3 am: 05.07.07 - 16:39:00 »
Pasword ist Katzekatze

Beispiel aus dem Log

checking Katzekatze
checking Katzekatz
checking Katzeka
usw...

somit steht das neue Password im Klartext im Logfile
2 x 6.5.5 Mail Server on Windos 2003
2 x 6.5.5 Application Server on Windos 2003

Clients:
500 User (Win.XP) 6.5.5

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Notespassword bei Änderung durch den User mitloggen
« Antwort #4 am: 09.07.07 - 09:10:01 »
In einem Logfile, auf das nur der Admin zugriff hat (haben sollte) und selbst das nur, nachdem der Admin einen Ini-Parameter gesetzt hat.

Also da müsstest Du bei allen Produkten, die ein derartiges Flaghaben, dieses als SicherheitsLÜCKE definieren. Damit wäre etwa ein "-s" bzw. ein "LogLevel" größer 2 bei sshd ebenfalls eine Sicherheitslücke.

Einem Admin muss man vertrauen können und dieser sollte wissen, welche Optionen er bei einem Produkt setzt und welche nicht. Aber Sicherheitslücke ist der INI-Paramter sicher nicht.
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline Andysun

  • Aktives Mitglied
  • ***
  • Beiträge: 196
  • Geschlecht: Männlich
  • Möge die Macht mit dir sein.
Re: Notespassword bei Änderung durch den User mitloggen
« Antwort #5 am: 12.07.07 - 10:22:22 »
Offensichtlich gibt es eine Interessante Sicherheitslücke in Lotus Notes. Durch simples setzten von 2 Parametern in der Notes.ini lässt sich das Noteskennwort bei der änderung durch den User mitloggen.

http://www-1.ibm.com/support/docview.wss?uid=swg21196682

Leider geht der Link nicht mehr.

Beste Grüsse

Andysun

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Notespassword bei Änderung durch den User mitloggen
« Antwort #6 am: 12.07.07 - 10:29:54 »
Gelobt sei Google-Cache:
Zitat
Error: "The Password You Specified Is Not Complex Enough" when Attempting to Change Your User ID Password.
 
Problem
When you attempt to change the password for your user ID file, the following error displays:


      "The password you specified is not complex enough."


Previously, similar passwords have worked for you. What can be done to troubleshoot this?
 
Solution
The way Notes/Domino determines if a password is complex enough is to search multiple sources on the client. If the password or any part of it is found in the dictionary, clipboard or the cache.ndk, it could fail the complexity test.

To troubleshoot this you can apply the following parameters to your client's Notes.ini file:


      KFM_ShowEntropy=1

      Debug_Outfile=<path to outfile> (e.g., Debug_Outfile=c:\password.txt)


This parameter will print to the outfile the steps that are taken during verification of a password. After attempting to change your password and you receive the error again, shut down your Notes client and open the debug outfile that was generated. If a match for your new password was found during password verification, this will be indicated in the text of the outfile.
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Re: Notespassword bei Änderung durch den User mitloggen
« Antwort #8 am: 20.07.07 - 08:48:12 »
hallo Dirk

danke, das hätte ich sonst übersehen heute morgen.

Gruß Werner
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Driri

  • Gast
Re: Notespassword bei Änderung durch den User mitloggen
« Antwort #9 am: 20.07.07 - 09:17:38 »
Hier übrigens die Stellungnahme von IBM in Form einer Technote :

http://www-1.ibm.com/support/docview.wss?rs=475&uid=swg21266085

Offline feargus

  • Aktives Mitglied
  • ***
  • Beiträge: 144
  • Geschlecht: Männlich
  • Und welche Farbe soll die Datenbank haben?
Re: Notespassword bei Änderung durch den User mitloggen
« Antwort #10 am: 23.07.07 - 15:15:30 »
Nachtrag: lt. Aussagen von IBM soll in Version 7.03 der Parameter nicht mehr vorhanden sein.

Mal abwarten was draus wird :D
2 x 6.5.5 Mail Server on Windos 2003
2 x 6.5.5 Application Server on Windos 2003

Clients:
500 User (Win.XP) 6.5.5

Offline Jag_rip

  • Junior Mitglied
  • **
  • Beiträge: 89
  • Geschlecht: Männlich
  • veni, quaero, consulo...
Re: Notespassword bei Änderung durch den User mitloggen
« Antwort #11 am: 26.07.07 - 11:03:46 »
Hier übrigens die Stellungnahme von IBM in Form einer Technote :

http://www-1.ibm.com/support/docview.wss?rs=475&uid=swg21266085

mmmhh ich liebe die IBM seite, 6 Tage nach posten des Links gibts den Artikel bereits nicht mehr.  >:(
Gruss Yves
______________________________________________

Diverse Kundensysteme mit Dominoservern v. 8.0.1 bis 8.5.2
... und noch ne Handvoll Blackberries sowie Traveler ...

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz