Web

L0pht warnt Entwickler

Ist Lotus Domino der nächste Fehlerkandidat?

19.10.1998
Von 
L0pht warnt Entwickler

MÜNCHEN (COMPUTERWOCHE) – Nach Informationen der Sicherheitsexperten/Hacker von L0pht (http://www.l0pht.com/advisories/domino3.txt) enthält Lotus Groupware/Web-Server Domino einen "Fehler", der unter Umständen unbefugten Personen den Zugriff auf sensible Daten ermöglicht. Und das funktioniert so: Die URL einer Domino-Anwendung besteht typischerweise aus einem HTTP-Verweis auf eine Notes-Datenbank (Endung ".nsf") mit einem angehängten "Rattenschwanz" aus Zahlen und Buchstaben, der auf eine bestimmte "Stelle" der Datenbank verweist. Wenn nun ein Hacker diesen "Rattenschwanz" einfach in der Adreßzeile seines Browsers direkt hinter ".nsf" abschneidet und statt dessen ein "?Open" anhängt, bekommt er unter Umständen Zugriff auf die komplette Datenbank – inklusive Kundendaten und Kreditkartennummern. Eine weitere Achillesferse offenbart sich bei so mancher Notes-Datenbank, wenn diese mittels ".nsf/viewname?SearchView&Query="*" " angesprochen wird. Diese Pannen sind keineswegs hypothetisch, sondern laut L0pht sogar bei "Lotus Business Partners" aufgetreten. Dazu müssen die entsprechenden Entwickler allerdings grundlegende Sicherheitsrichtlinien außer acht lassen. Lotus ist das Problem bereits bekannt, die IBM-Tochter will in Kürze dazu Stellung nehmen.