DISKUSE
Chyba aplikace Notes: Soubor neexistuje. (profile) 
10.05.2023 07:53

Co se děje ? Jak se pracuje v jazyce vzorců ? (2)
21.04.2023 14:15

Co se starou dokumentací k R3, R4, ...? 
05.04.2023 14:41

Událost, při neexistenci přílohy. (2)
05.04.2023 11:51

Jak zjistit vložení přílohy. (4)
21.03.2023 11:14

Rámec nebo okno ? (10)
22.02.2023 10:14

Vylepseni designera 9.01 (3)
02.02.2023 20:27

Jak resit casove narocneho agent na frontendu (13)
25.01.2023 19:15


ŠKOLENÍ


REKLAMA


KOMENTÁŘE
Dostupnosť menu príkazov v Notes klientovi. (2 komentáře)

Dá se přežít s IBM Lotus Symphony? (11 komentářů)

LotusScript 2/4: Domino objekty (6 komentářů)

LotusScript 1/4: Základy (1 komentář)

Co nedovolují licence Express? (2 komentáře)


Bezpečnostní díra v Lotus Domino Web Access

Vytisknout článek

Není to tak dávno, co jsem psal o první reportované bezpečnostní chybě v softwarovém produktu Lotus. A už je na řadě další.


Aby jsme si lépe rozuměli - nikdy jsem netvrdil, že by v software od Lotusu či IBM Lotus nebyly nikdy žádné chyby. Naopak, jsou jich stovky, podobně jako v jiných softwarových produktech prakticky všech společností. Potud jsme na tom stejně jako uživatelé jiných softwarových řešení. Lotus a později IBM však od ostatních odlišovala a odlišuje péče, která je updatování software věnována. V pravidelných intervalech (teď jsou to 4 měsíce) poskytuje IBM tzv. MR/MU - tedy Maintenance Release/Maintenance Upgrade, v rámci kterých jsou známé chyby opravovány.

Navíc, v loňském roce přišla IBM s tzv. Critical Fixpack, tedy souborem nejnutnějších bezpečnostních záplat, které jsou zákazníkům k dispozici mimo plánované uvolnění MR/MU.

Všechny dosavadní bezpečnostní díry lze považovat za okrajové - týkaly se pouze omezeného počtu zákazníků a specifických kombinací použití software tak, že povětšinou způsobovaly pád (zatuhnutí) serveru. Mezi doslova okrajové patří i v předchozím článku popisovaná chyba (Bezpečnostní díra v Lotus Notes R6.x). Nejinak je tomu i u poslední reportované chyby.


Co je vadného na Lotus Domino Web Access?

Jak 5. července 2004 reportoval Andreas Klein, je možné poměrně snadno shodit Lotus Domino server 6.5.1. Stačí poslat uživateli, který používá Lotus Domino Web Access, JPEG o velikosti více než 12 MB. Při otevírání takového mailu z prostředí Lotus Domino Web Access dojde ke zhroucení serveru. Chyba byla hlášena pouze a právě na verzi 6.5.1, ale je možné předpokládat, že tuto chybu obsahují i další verze Lotus Domino Web Access. Informace o dalších verzích však chybí.

Kdo se musí bát? Podle mě se nemusí bát prakticky 99,99% z vás. Chyba se projeví pouze z klienta Lotus Domino Web Access při otevírání attachmentu o velikosti větší než zmíněných 12 MB. Stačí omezit max. velikost attachmentů a je po problému.

Ale řekněte sami - kdo by ale při stavu našeho ADSL otevíral přes Web Access tak velké attachmenty?


Autor: Emil Čelustka
Datum: 08.07.2004


Sdílet článek Seznam komentářů

Zatím nebyl přidán žádný komentář. Buďte první!


Související články:
» 

Security Considerations in Notes and Domino 7

 (Redbooks, 15.05.2006)
» 

Lotus Security Handbook

 (Redbooks, 30.07.2004)
» 

Bezpečnostní problémy se stále valí

 (Notes/Domino R6, 12.07.2004)
» 

Bezpečnostní díra v Lotus Notes R6.x

 (Notes/Domino R6, 30.06.2004)
» 

Lotus Security Handbook

 (Notes/Domino R6, 19.01.2004)