IBM Lotus Notes Java Applet aláírás érvényesítésének biztonsági hibája

CH azonosító

CH-1009

Felfedezés dátuma

2008.02.19.

Súlyosság

Alacsony

Érintett rendszerek

IBM
Lotus Notes

Érintett verziók

IBM Lotus Notes 6.0, 6.5, 7.0, 8.0

Összefoglaló

Az IBM Lotus Notes egy sérülékenységét azonosították, melyet távoli támadók kihasználhatnak biztonsági megszorítások megkerülésére és a sérült rendszer feltörésére.

Leírás

Az IBM Lotus Notes egy olyan sérülékenységét jelentették, melyet a támadók egyes biztonsági eljárások megkerülésére használhatnak ki.

A problémát az okozza, hogy lehetőség van az ECL (Execution Control List ) eljárás megkerülésére, például, ha egy felhasználó olyan emailt kap, amely tartalmaz egy aláírással nem rendelkező appletet és ezt továbbítja egy másik felhasználónak, akkor az applet aláírása az eredeti felhasználó aláírásával fog rendelkezni.

A sikeres kiaknázás feltétele, hogy a továbbított mail címzettjénél az “Enable Java Applets” opció engedélyezve legyen, az ECL konfigurációja lehetővé tegye, hogy a küldő Javát futtasson, és a küldő megbízhatónak tekintett Java applet aláírással rendelkezzen.

Megoldás

A forgalmazó az “Enable Java Applets” opció letiltását vagy megbízható aláírás használatát ajánlja a Java Appletekhez.