Vulnerabilità in Lotus Domino (View ACL Bypass)

Impatto medio

Lotus Domino è un Application server disegnato per aiutare gruppi di lavoro su progetti comuni ed offrire al contempo servizi bsati su SMTP, POP3, IMAP, LDAP, e web, in interazione con un database Lotus Notes.
Un database di questo genere può contenere dei documenti che sono organizzati in "viste". A queste ultime possono essere associate delle Access control lists, così come ai database stessi e ai documenti.
E'stato scoperto che, anche se è stato negato ad un utente l'accesso alle "viste" (conosciute anche con il nome di "view", sarebbe comunque possibile bypassare le permissions per loro settate ed accedere ai documenti che si credono erroneamente protetti.
La patch al momento non risulta essere disponibile. L'unico workaround possibile sarebbe quello di gestire le ACL con la massima oculatezza, e con particolare riferimento ai field degli autori e dei "reader" autorizzati a leggere i dati.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here