Un grave agujero de seguridad en Lotus Notes hacía que los
nombres de los usuarios y sus correspondientes passwords
quedaran almacenadas y accesibles en un archivo en texto
plano.
Lotus reconoció la pasada semana la existencia de este
agujero, que afecta cuando se da una combinación de
características bastante recuente en entornos corporativos.
Se ven afectados por el problema aquellos usuarios de
Lotus Notes que utilicen junto con el cliente el navegador
Microsoft Internet Explorer a través de un servidor proxy.
Si la configuración personalizada de cada usuario hace que
su página de inicio se abra en el navegador, el nombre del
usuario y su password se guardan en una cache, que
desafortunadamente consiste en un archivo de texto plano en
el cual es fácil consultar dicha información.
Los desarrolladores de Lotus estás trabajando en
características de cifrado que serán incluidas en la próxima
versión de Notes. Hasta la llegada de la nueva y esperada
versión de Lotus Notes, la compañía ofrece como solución al
error el cifrado local en los PCs con clientes Notes R5 de la
base de datos ‘PERWEB.NFS’, archivo en el que se guarda la
información de nombre de usuario y password.
Más información:
VNUnet
antonior@hispasec.com
Deja una respuesta