CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

25/03/2011

Publiquen vulnerabilitat en IBM Lotus Domino Server Controller, després d'esperar 6 mesos una solució

Hi ha un error en autenticar un usuari en Lotus Domino Server Controller, que podria permetre a un atacant executar codi arbitrari. La vulnerabilitat s'ha fet pública sense existir pedaç disponible.

Risc: Alt

El servidor Lotus Domino Server Controller, escolta en el port 2050 i utilitza un COOKIEFILE (fitxer que guarda la informació d'autenticació) per a comparar les dades usuàries i de sessió enviades pel client. La fallada radica en que el servidor es trobe en una ruta UNC, que pot ser accessible per a l'atacant, per la qual cosa aquest tindria control sobre les dades que s'envien i les dades que es comparen i, per tant, podria autenticar-se.

Una vegada que l'atacant aconsegueix accés al sistema, pot executar codi sota el context de l'usuari 'SYSTEM' en Windows, és a dir, amb totals privilegis.

Aquesta fallada ha estat revelada per ZDI (Zero Day Initiative), acollint-se a la seua recent política de divulgació pública de fallades sense pedaç; després de no rebre contestació, després de 180 dies, per part del fabricant. En  agost de 2010, Zero Day Initiative, de TippingPoint, va imposar una nova regla destinada a pressionar els fabricants de programari, perquè solucionen, com més prompte millor, els seus errors: si passats sis mesos, des que se'ls avise d'una fallada de seguretat de forma privada, no l’han corregida, ho farien públic.

Aquesta fallada recorda als problemes que pateixen els clients de Hastings compartits. De vegades, guarden la informació de sessió en clar i en carpetes comunes, com pot ser '/tmp/'.

Sistemes Afectats:

IBM Lotus Domino Server Controller

Referències:

None

Solució:

Les contramesures proposades són les següents: Establir una contrasenya per a la consola del sistema i limitar l'accés a amfitrions (hosts) de confiança.

Notes:

http://www.zerodayinitiative.com/advisories/ZDI-11-110/

Font: Hispasec una-al-día

CSIRT-CV