S'han descobert diverses vulnerabilitats al servidor web de Lotus Domino que poden permetre als atacants l'accés no autoritzat a les funcions administratives o a les dades.

S'ha descobert una característica del servidor web Domino que permet a un usuari anònim accedir al fitxer de la plantilla d'administrador web (WEBADMIN.NTF) i fer ús d'algunes de les seves funcionalitats. Normalment WEBADMIN.NTF no ha de ser accessible i això plantejar un alt risc de seguretat per als sistemes que fan servir Lotus Domino.

La millor acció per tal d'evitar aquest problema passa per eliminar la plantilla Web Administrator del sistema. De la mateixa forma també es pot considerar l'eliminació del administrador web real, WEBADMIN.NSF.

Lotus informa que a la següent versió de Domino, 5.0.9, es verificaran els permisos sobre el fitxer WEBADMIN.NFT per tal d'impedir l'accés anònim.

Per altra banda, una base de dades Lotus Notes conté documents organitzats en vistes. Es poden aplicar llistes de control d'accés a la pròpia base de dades, a les vistes i als documents. Si un usuari no té permís per accedir a una vista, és possible saltar-se aquesta restricció saltant-se els permisos d'aquesta vista i accedint als documents que suposadament estan protegits.

La raó de l'existència d'aquesta vulnerabilitat és que, malgrat que un document estigui disponible a una vista és possible accedir-hi des de qualsevol altra vista. És a dir, tots els documents d'una base de dades Lotus Notes poden ser accedits des de qualsevol vista.

La solució a aquest problema passa per verificar que quan s'apliqui el control d'accés a una vista, cal recordar la necessitat de protegir per separat els documents continguts a la vista.

Més informació

Avís de seguretat: Lotus Domino View ACL by-pass
http://www.nextgenss.com/advisories/viewbypass.txt

Avís de seguretat: Lotus Domino Web Administrator Template ReplicaID Access
http://www.nextgenss.com/advisories/replicaid.txt

Antonio Ropero
antonior@hispasec.com