DISKUSE
Sametime (8)
23.04.2021 09:41

Agent který je spuštený čtenářem by měl modifikova... (3)
16.04.2021 16:07

LCConnection - Oracle (2)
08.04.2021 11:16

RTF Scrollbar (2)
21.01.2021 23:27

Export textu do hlavičky MS Word dokumentu pomocí ... (2)
21.01.2021 18:48

Nemá created (2)
09.01.2021 08:46

Problém s polem From v mailech posílaných přes SMT... (1)
30.11.2020 14:30

Agent log (1)
04.08.2020 13:17


ŠKOLENÍ


REKLAMA


KOMENTÁŘE
Dostupnosť menu príkazov v Notes klientovi. (2 komentáře)

Dá se přežít s IBM Lotus Symphony? (11 komentářů)

LotusScript 2/4: Domino objekty (6 komentářů)

LotusScript 1/4: Základy (1 komentář)

Co nedovolují licence Express? (2 komentáře)


Bezpečnostní díra v Lotus Notes R6.x

Vytisknout článek

První bezpečnostní problém, který by mohl být využit k potenciálnímu útoku na klientské instalace Lotus Notes, je na světě. Jednou to prostě muselo přijít.


23. června 2004 byl společností iDefense Inc. zveřejněn popis bezpečnostní chyby, která dovoluje spustit na stanici Lotus Notes nežádoucí kód. Popis najdete zde. Datum se shoduje s uvolněním verzí 6.0.4 a 6.5.2, ve kterých je chyba reportovaná společnosti IBM 5. kvěrna 2004 již odstraněna (popis zde).

Považuji za důležité zdůraznit, že samotná existence bezpečnostní díry neznamená problém. Aby se z této záležitosti stal závažný problém, musel by této díry využít některý z autorů virů. A to je přinejmenším málo pravděpodobné. Ostatně proč se někam drápat jednou usmolenou skulinou, když jich ve Windows a aplikacích Microsoftu jsou stovky, možná tisíce?

Hezké ale je, jak o celé záležitosti referují média. Tedy spíše nereferují - nikdo této díry dosud nevyužil a nebyly napadeny miliony počítačů, takže není o čem referovat. Na českých stránkách si události všímají jen dvě: Actinet.cz a Živě.cz. Že se jedná pouze o slepé přebírání cizích zpráv ukazuje Vít Jurásek právě na Živě. Nejenže píše o neexistujícím "produktu Lotus Domino/Notes", ale navíc nesprávně označuje za touto dírou napadnutelný Domino server. Inu, prostě jen opisuje ze svého zdroje...


Co dělat?

Slovy Stopařova průvodce po galaxii: Nepropadejte panice. R5 se problém netýká a pro R6 to IBM vyřešila verzemi 6.0.4 nebo 6.5.2. Jedinou potíž představuje získání těchto nových verzí. Přestože podle Notes/Domino Fix List Database byly obě tyto verze uvolněny, 6.5.2 není dodnes k dispozici ke stažení pro širokou veřejnost. O uvolnění 6.0.4 a 6.5.2 jsem psal zde již 21.6. a na základě tohoto článku se na nás často obracíte s dotazem, kde ji získat. Opravdu nevím, co se děje - 6.5.2 je k dispozici pouze pro některé zákazníky Passport Advantage a jak to tak vypadá, IBM má s dostupností jednotlivých verzí velké problémy. Obdobný problém s dostupností jsme řešili nedávno pro jednoho z vás v případě české 6.5.1.

Nezbývá, než čekat. :-( O uvolnění 6.5.2 pro veřejnost vás budeme informovat.


Autor: Emil Čelustka
Datum: 30.06.2004


Sdílet článek Seznam komentářů
 
Od
Téma
 Datum
Miro Uhlar
Málo pravdepodobné
30.06.2004 11:47

Související články:
» 

Security Considerations in Notes and Domino 7

 (Redbooks, 15.05.2006)
» 

Lotus Security Handbook

 (Redbooks, 30.07.2004)
» 

Bezpečnostní problémy se stále valí

 (Notes/Domino R6, 12.07.2004)
» 

Bezpečnostní díra v Lotus Domino Web Access

 (Notes/Domino R6, 08.07.2004)
» 

Lotus Security Handbook

 (Notes/Domino R6, 19.01.2004)