Se ha dado a conocer un problema de seguridad en el modo de
autenticación de los usuarios ante la utilidad Zmerge.
ZMerge es una herramienta para Lotus Notes/Domino que se utiliza para
mapear datos entre bases de datos Lotus Notes y archivos de datos
estructurados.
El problema en cuestión viene dado en la configuración por defecto de
las bases de datos administrativas de Zmerge que permite el acceso
como administrador a todos los usuarios, incluyendo a los usuarios
anónimos web. Un usuario podría modificar los scripts “importar/exportar”
que son ejecutados por el administrador o por un agente programado.
Este problema de seguridad se verá corregido en futuras versiones de
Zmerge. Si bien, como contramedida se recomienda seleccionar la base
de datos de administración de ZMerge (zm50adm.nsf o zmevladm.nsf)
y cambiar el nivel de acceso para Default y Anonymous a “No Access”.
roman@hispasec.com
Más información:
Granite Software ZMerge Administration Database Insecure Default ACLs
http://www.rapid7.com/advisories/R7-0005.txt
Deja un comentario