Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Lopht warnt vor leichtfertigen Sicherheitseinstellungen


30.10.1998 - 

Datenbanken unter Lotus Domino stehen häufig für Hacker offen

Waren Sicherheitslücken in den DV-Systemen früher ärgerlich, in ihren praktischen Auswirkungen jedoch oft zu vernachlässigen, hat sich dies im Zeitalter des Internet geändert. Konzeptionelle Fehler haben hier oft fatale Auswirkungen: Grundsätzlich können dann Millionen von Internet-Surfern auf sensible Daten zugreifen. Machte in der Vergangenheit in diesem Zusammenhang vor allem Windows NT von sich reden, so haben Experten jetzt ein Schlupfloch beim Lotus-Server "Domino" entdeckt.

Ändert ein Hacker die Syntax des HTTP-Verweises auf eine Notes-Datenbank in seinem Browser, so hat er unter Umständen Zugriff auf die komplette Datenbank. Wie die Verfahren genau funktionieren, mit denen man sich unbefugten Zugang zur Datenbank verschaffen kann, soll an dieser Stelle nicht genauer beschrieben werden, um Nachahmern einen Riegel vorzuschieben. Laut Lopht handelt es sich dabei jedoch nicht um hypothetische Fälle, denn die Experten wollen diese Schlupflöcher auch bei Lösungen der "Lotus Business Partners" entdeckt haben.

Generell sei hierzu nur angemerkt, daß das Sicherheitskonzept von Domino wohl in den Grundeinstellungen zu weitreichende Zugriffsrechte erteilt. Hier ist also der Administrator gefordert, explizit nur die Inhalte freizugeben, die via Internet oder Intranet zugänglich sein sollen.

Das Problem ist Lotus bekannt. Eine Stellungnahme der IBM-Tochter ist in Kürze zu erwarten. In der Zwischenzeit finden Interessierte Ratschläge von L+pht im Internet unter " http://www.l0pht. com/advisories/domino3.txt".