Das Notes Forum

Domino 9 und frühere Versionen => ND6: Administration & Userprobleme => Thema gestartet von: feargus am 05.07.07 - 16:09:14

Titel: Notespassword bei Änderung durch den User mitloggen
Beitrag von: feargus am 05.07.07 - 16:09:14
Offensichtlich gibt es eine Interessante Sicherheitslücke in Lotus Notes. Durch simples setzten von 2 Parametern in der Notes.ini lässt sich das Noteskennwort bei der änderung durch den User mitloggen.

http://www-1.ibm.com/support/docview.wss?uid=swg21196682
Titel: Re: Notespassword bei Änderung durch den User mitloggen
Beitrag von: m3 am 05.07.07 - 16:12:02
Wo ist da die Sicherheitslücke?
Titel: Re: Notespassword bei Änderung durch den User mitloggen
Beitrag von: Driri am 05.07.07 - 16:17:07
Ich denke, Du beziehst Dich auf diesen Satz hier :

Zitat
If a match for your new password was found during password verification, this will be indicated in the text of the outfile.

Für mich heißt das, daß ich Informationen darüber erhalte, ob das Kennwort in einer der genannten Quellen gefunden wurde. Das heißt aber nicht, daß das Kennwort auch im Debugfile angezeigt wird.
Titel: Re: Notespassword bei Änderung durch den User mitloggen
Beitrag von: feargus am 05.07.07 - 16:39:00
Pasword ist Katzekatze

Beispiel aus dem Log

checking Katzekatze
checking Katzekatz
checking Katzeka
usw...

somit steht das neue Password im Klartext im Logfile
Titel: Re: Notespassword bei Änderung durch den User mitloggen
Beitrag von: m3 am 09.07.07 - 09:10:01
In einem Logfile, auf das nur der Admin zugriff hat (haben sollte) und selbst das nur, nachdem der Admin einen Ini-Parameter gesetzt hat.

Also da müsstest Du bei allen Produkten, die ein derartiges Flaghaben, dieses als SicherheitsLÜCKE definieren. Damit wäre etwa ein "-s" bzw. ein "LogLevel" größer 2 bei sshd ebenfalls eine Sicherheitslücke.

Einem Admin muss man vertrauen können und dieser sollte wissen, welche Optionen er bei einem Produkt setzt und welche nicht. Aber Sicherheitslücke ist der INI-Paramter sicher nicht.
Titel: Re: Notespassword bei Änderung durch den User mitloggen
Beitrag von: Andysun am 12.07.07 - 10:22:22
Offensichtlich gibt es eine Interessante Sicherheitslücke in Lotus Notes. Durch simples setzten von 2 Parametern in der Notes.ini lässt sich das Noteskennwort bei der änderung durch den User mitloggen.

http://www-1.ibm.com/support/docview.wss?uid=swg21196682

Leider geht der Link nicht mehr.

Beste Grüsse

Andysun
Titel: Re: Notespassword bei Änderung durch den User mitloggen
Beitrag von: m3 am 12.07.07 - 10:29:54
Gelobt sei Google-Cache:
Zitat
Error: "The Password You Specified Is Not Complex Enough" when Attempting to Change Your User ID Password.
 
Problem
When you attempt to change the password for your user ID file, the following error displays:


      "The password you specified is not complex enough."


Previously, similar passwords have worked for you. What can be done to troubleshoot this?
 
Solution
The way Notes/Domino determines if a password is complex enough is to search multiple sources on the client. If the password or any part of it is found in the dictionary, clipboard or the cache.ndk, it could fail the complexity test.

To troubleshoot this you can apply the following parameters to your client's Notes.ini file:


      KFM_ShowEntropy=1

      Debug_Outfile=<path to outfile> (e.g., Debug_Outfile=c:\password.txt)


This parameter will print to the outfile the steps that are taken during verification of a password. After attempting to change your password and you receive the error again, shut down your Notes client and open the debug outfile that was generated. If a match for your new password was found during password verification, this will be indicated in the text of the outfile.
Titel: Re: Notespassword bei Änderung durch den User mitloggen
Beitrag von: hallo.dirk am 19.07.07 - 23:22:36
Update:
http://www.heise.de/newsticker/meldung/92941
Titel: Re: Notespassword bei Änderung durch den User mitloggen
Beitrag von: WernerMo am 20.07.07 - 08:48:12
hallo Dirk

danke, das hätte ich sonst übersehen heute morgen.

Gruß Werner
Titel: Re: Notespassword bei Änderung durch den User mitloggen
Beitrag von: Driri am 20.07.07 - 09:17:38
Hier übrigens die Stellungnahme von IBM in Form einer Technote :

http://www-1.ibm.com/support/docview.wss?rs=475&uid=swg21266085
Titel: Re: Notespassword bei Änderung durch den User mitloggen
Beitrag von: feargus am 23.07.07 - 15:15:30
Nachtrag: lt. Aussagen von IBM soll in Version 7.03 der Parameter nicht mehr vorhanden sein.

Mal abwarten was draus wird :D
Titel: Re: Notespassword bei Änderung durch den User mitloggen
Beitrag von: Jag_rip am 26.07.07 - 11:03:46
Hier übrigens die Stellungnahme von IBM in Form einer Technote :

http://www-1.ibm.com/support/docview.wss?rs=475&uid=swg21266085

mmmhh ich liebe die IBM seite, 6 Tage nach posten des Links gibts den Artikel bereits nicht mehr.  >:(