HCL hat dieser Tage Security Bulletins - je eines für Notes und eines für Domino - veröffentlicht, indem auf diverse Sicherheitslücken in KeyView hingewiesen wird.
KeyView wird im Domino Server bis inklusive Version 9 genutzt, um Datei-Anhänge in Notesdokumenten für die Volltextsuche zu indizieren. Im Notes-Client bis Version inklusive 10 kann KeyView genutzt werden, um Datei-Anhänge zu lesen, ohne tatsächlich eine Software installiert zu haben, die für den Anhang registriert ist.
Leider konnte ich keine weiteren Informationen über den Vektor finden. Andere Lücken in KeyView, die es in der Vergangenheit gegeben hat, waren über manipulierte Datei-Anhänge ausnutzbar. Es ist daher durchaus wahrscheinlich, dass diese aktuellen Lücken über manipulierte E-Mail-Anhänge unbekannter Art ausgenutzt werden können. Das würde auch die zum Teil sehr hohe Kritikalität (9,8) der Lücken erklären.
Mitigation
Eine Art, das Problem einzudämmen ist, KeyView in Notes und Domino zu deaktivieren.
Für Notes ist das am besten über Desktop-Einstellungen (/Richtlinien) machbar.
In Domino wird KeyView über eine notes.ini-Einstellung gesteuert.
ft_index_attachment=1deaktiviert KeyView ohne die Indizierung von Anhängen komplett zu unterbinden. Das ist ein Kompromiss auf Kosten von Ressourcen-Effizienz und Such-Effektivität. Mit dem Wert "2" wird die Indizierung von Anhängen komplett deaktiviert.
Lösung
Die Verwundbarkeiten sind mit Notes 11 bzw. Domino 10 geschlossen. Das liegt daran, dass diese Versionen statt KeyView nun Apache Tika nutzen. Bedauerlicherweise hat Tika auch eine handvoll Sicherheitslücken, die aber mehr in den Bereich DoS gehen und mit 12.0.2 geschlossen sind.
Noch mehr Gründe, Notes und Domino zu aktualisieren ;-). Sprechen Sie uns an.
