jueves, 25 de marzo de 1999

Notes expone los mensajes e-mail cifrados

Lotus ha confirmado la existencia de un bug en la mensajería de los
clientes de Lotus Notes por el cual los mensajes de correo cifrado
pueden quedar expuestos.
El problema, que afecta a los clientes de Lotus Notes 4.5 y 4.6,
radica en los mensajes que se envían cifrados, ya que una copia del
mensaje recorre la red sin ningún tipo de cifrado almacenándose en
el servidor de igual forma. Cuando se envía un mensaje a través del
cliente Notes, realmente se envían dos copias de la carta, la
primera se dirige a su destinatario y la segunda se almacena en la
carpeta "Correo Enviado" del servidor Notes del emisor.

Si se cifra el mensaje, lógicamente con el deseo de que sólo el
receptor tenga posibilidad de leer la misiva, se repiten las
condiciones anteriores, pero debido a un bug el correo que se
destina al servidor no se cifra. Como consecuencia, una copia del
mail sin cifrar recorre la red, además la copia que se guarda
también se almacena en claro.

El problema está en que el mensaje puede ser interceptado y leído
si se analiza el tráfico de red entre el cliente Notes del emisor
y el servidor o si se accede directamente a la carpeta de correo
enviado del servidor Notes.

A la espera del parche para solucionar este problema, sobre el que
Lotus ya está trabajando, la compañía subsidiaria de IBM recomienda
a los administradores verificar que se emplea la sintaxis correcta
en "Localización del archivo de correo" ("Mail File Location") en
"Localización de documentos" ("Location Document"). Mientras que
los usuarios por su parte, cada vez que envíen un mensaje cifrado
deben pulsar el botón "Cifrar correo grabado" ("Encrypt Saved
Mail") en "Preferencias de correo" ("Mail Preferences").

Más información:
Bugtraq


Antonio Ropero



No hay comentarios:

Publicar un comentario en la entrada