Es wurde eine Sicherheitslücke in den ACL's des Lotus Domino Mailservers gemeldet, die bei weiteren Untersuchungen dieser Schwachstelle nicht bestätigt werden konnten.

Betroffene Systeme

• Lotus Notes Server (Lotus Domino Release 5.0.5)

Beschreibung
Es wurde eine Sicherheitslücke in den ACL's des Lotus Domino Mailservers gemeldet. Durch diese sollte der Zugriff auf fremde Mailboxen ermöglicht werden.

Bei weiteren Überprüfungen dieser Schwachstelle konnte dies nicht bestätigt werden. Zugriff ist nur auf öffentliche Dateien (wie z.B. den Kalender) möglich. Durch gezieltes fälschen der Rückantwort an den Mailserver wird der Mailboxnamen zwar verändert, es handelt sich aber weiterhin um die selbe Mailbox (des authentifizierten Users).

Maßnahmen
Um Man-in-the-Middle Angriffe zu unterbinden, empfiehlt Lotus die Verwendung von "network port encryption":

• Lotus Response to Reported Security Vulnerability

Weitere Information zu diesem Thema

• Lotus Response to Reported Security Vulnerabilit
• http://cert.uni-stuttgart.de/ticker/article.php?mid=66

Weitere Artikel zu diesem Thema:

• [Lotus/Domino] Sicherheitslücke im Lotus Domino Mailserver (2001-01-09)
  Durch eine Sicherheitslücke im Lotus Domino Mailserver können User, die sich am Mailserver authentifiziert haben, Zugriff auf beliebige Mailboxen erhalten.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/