Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/05/2013
Vulnerabilitat en Lotus Notes deguda a Java
El problema és a causa de la conjunció d’unes configuracions per defecte insegures, i a l’ús d’una versió de Java que conté vulnerabilitats de seguretat crítiques.Els sistemes Lotus Notes i Domino, sistemes de correu electrònic i treball en grup, respectivament, propietat d’IBM, especialment populars en grans companyies, tenen un gran problema de seguretat que hauria de ser solucionat prompte amb una actualització. El simple fet d’obrir un correu electrònic pot llançar la instal·lació de programes espia en l'ordinador d’un usuari de Notes.
El codi Java embegut en pàgines web ha sigut, des de fa algun temps criticat com un problema de seguretat. L’execució automàtica de codi JavaScript quan s’obri un correu electrònic pot tindre també conseqüències inesperades, ja que hi ha el risc que es compartisca informació sobre quan i on s’ha llegit un correu electrònic. Per això, la majoria de clients de correu electrònic deshabiliten tant JavaScript com Java quan mostren un correu amb codi HTML - excepte les notes d’IBM.
Després de les notícies publicades per un expert de seguretat extern, IBM s’ha adonat que dissenyar els clients de Notes perquè carreguen i executen codi JavaScript, i inclús aplicacions Java, des de servidors externs i sense demanar cap autorització suposa un problema de seguretat - especialment per a Lotus Notes, ja que utilitza una versió de Java (IBM Java 6 SR12) reconeguda pels seus errors de seguretat crítics.
IBM ha donat a este problema una puntuació de 4.3 segons l’estàndard CVSS, i indica que el problema no és greu. Alexander Klink de n.runs, que va descobrir la vulnerabilitat, no està d’acord amb l’avaluació realitzada per IBM ja que "els atacants poden utilitzar açò per a prendre el control d’ordinadors amb el client de Notes instal·lat. Considerant com està d’estés Notes en l’àmbit empresarial, és un objectiu molt atractiu, amb un gran risc potencial".
Els administradors que disposen de sistemes amb Lotus Notes han de prendre les mesures necessàries per a augmentar la seguretat dels seus clients tan prompte com siga possible.
Sistemes Afectats:IBM Notes 8.0.x, 8.5.x, 9.0
Referències:CVE-2013-0127, CVE-2013-0538
Solució:De moment no hi ha pedaç definitiu, però s’han publicat solucions temporals. Estes consistixen en deshabilitar estes funcions manualment, per mitjà del menú de preferències o fixant les següents variables en el fitxer notes.ini:
EnableJavaApplets=0
EnableLiveConnect=0
EnableJavaScript=0
The H Security
IBM Security Bulletin
Full Disclosure: n.runs-SA-2013.005