MÜNCHEN (COMPUTERWOCHE) - Niederländische Sicherheitsexperten von Trust Factory BV haben auf der Defcon 8 in Las Vegas vor einem ihrer Ansicht nach gravierenden Sicherheitsloch in der Lotus-Software Notes samt korrespondierendem Notes/Domino-Server gewarnt. Dabei geht es um die Art und Weise, wie Passwörter vom Client an den Server weitergereicht werden. Dies geschieht zwar verschlüsselt; allerdings lassen sich die dabei erzeugten alphanumerischen Strings ("Hashes") mit einem Master-Schlüssel abgleichen und anschließend mit anderen Accounts (auf dem gleichen Server) missbrauchen.

Dem Hersteller ist die Problematik bewusst. Er rät wie auch Trust Factory dazu, das so genannte "Salted Hashing" zu verwenden, bei dem noch zufällig erzeugte Zahlen mit beigemischt werden. Diese Option existiert allerdings erst seit der Notes-Version 4.6 - ärgerlich für Anwender, die ältere Releases nutzen oder sie aus Gründen der Abwärtskompatibilität in gemischten Umgebungen nicht einschalten können. Ohnehin versucht Lotus, das Risiko herunterzuspielen. "Diese Art von Angriff ist ausgesprochen raffiniert und setzt außerdem voraus, dass der Angreifer bereits intern auf Ressourcen zugreifen kann", wiegelt Produkt-Managerin Katherine Spanbauer ab.