Kürzlich sind 3 (mehr oder weniger) sicherheitskritische
Lücken aufgedeckt worden. Ich erinnere mich nicht mehr daran, wann (und
ob) es jemals zuvor so eine Häufung gab?
Die erste ist "nur" ein Denial
of Service des Domino-Servers, genauer der nserver.exe. Leider gibt es
bisher keine weiteren Details, z. B. ob sich diese Lücke auch ohne Authentifizierung
nutzen lässt.
Quelle: http://www.securityfocus.com/bid/36257
Die zweite Lücke ist da schon größer.
Es geht darum, dass "böse" RSS-Feeds, wenn man sie über die RSS-Seitenleiste
liest, im 8.5er Standard-Client nicht genügend geprüft werden, so dass
darin enthaltene Skripte, Flash-Objekte und mehr ausgeführt werden, die
im Internet Explorer im lokalen Sicherheitskontext laufen.
Quelle: http://www.securityfocus.com/archive/1/506296
Die dritte Lücke hat was mit iNotes
(in der Version 8.0.1). Auch da werden bestimmte "Eingaben",
das dürften dann ja wohl vor allem E-Mails und Besprechungseinladungen
sein, nicht ausreichend auf "böse" Inhalte geprüft. Es gibt auch
schon einen Hotfix dagegen.
Quelle: http://www-01.ibm.com/support/docview.wss?uid=swg27016745
und dort die SPR# EZEL7UURYC.
Update
Zur zweiten Lücke hat IBM "geantwortet":
Response to 'IBM Lotus Notes 8.5 RSS Widget Privilege Escalation'
http://www-01.ibm.com/support/docview.wss?uid=swg21403834
DominoCamp 2023: ChatGPT in Notes-Anwendungen und Domino-Monitoring u.a. mit Zabbix
Meine Vorträge auf dem DominoCamp 2023 (etwas verspätet) zu ChatGPT in Notes und Domino-Monitoring u.a. mit Zabbix Mehr