Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/05/2013
Vulnerabilidad en Lotus Notes debida a Java
El problema se debe a la conjunción de unas configuraciones por defecto inseguras, y al uso de una versión de Java que contiene vulnerabilidades de seguridad críticas.Los sistemas Lotus Notes y Domino, sistemas de correo electrónico y trabajo en grupo, respectivamente, propiedad de IBM, especialmente populares en grandes compañías, tienen un gran problema de seguridad que debería ser solucionado pronto con una actualización. El simple hecho de abrir un correo electrónico puede lanzar la instalación de programas espía en el ordenador de un usuario de Notes.
El código Java embebido en páginas web ha sido, desde hace algún tiempo criticado como un problema de seguridad. La ejecución automática de código JavaScript cuando se abre un correo electrónico puede tener también consecuencias inesperadas, ya que existe el riesgo de que se comparta información sobre cuando y donde se ha leido un correo electrónico. Por ello, la mayoría de clientes de correo electrónico deshabilitan tanto JavaScript como Java cuando muestran un correo con código HTML - excepto el Notes de IBM.
Tras las noticias publicadas por un experto de seguridad externo, IBM se ha dado cuenta de que diseñar los clientes de Notes para que carguen y ejecuten código JavaScript, e incluso aplicaciones Java, desde servidores externos y sin pedir ninguna autorización supone un problema de seguridad - especialmente para Lotus Notes, ya que utiliza una versión de Java (IBM Java 6 SR12) reconocida por sus fallos de seguridad críticos.
IBM ha dado a este problema una puntuación de 4.3 según el estándar CVSS, indicando que el problema no es grave. Alexander Klink de n.runs, quien descubrió la vulnerabilidad, no está de acuerdo con la evaluación realizada por IBM ya que "los atacantes pueden utilizar esto para tomar el control de ordenadores con el cliente de Notes instalado. Considerando lo extendido que es Notes en el ámbito empresarial, es un objetivo muy atractivo, con un gran riesgo potencial".
Los administradores que dispongan de sistemas con Lotus Notes deben tomar las medidas necesarias para aumentar la seguridad de sus clientes tan pronto como sea posible.
Sistemas Afectados:IBM Notes 8.0.x, 8.5.x, 9.0
Referencias:CVE-2013-0127, CVE-2013-0538
Solución:De momento no existe parche definitivo, pero se han publicado soluciones temporales. Estas consisten en deshabilitar estas funciones manualmente, mediante el menú de preferencias o fijando las siguientes variables en el fichero notes.ini:
EnableJavaApplets=0
EnableLiveConnect=0
EnableJavaScript=0
The H Security
IBM Security Bulletin
Full Disclosure: n.runs-SA-2013.005