Abstract:

IBM Lotus Notes and IBM Lotus Domino are vulnerable to four Java exploits where malicious agents, applets, or XPages applications can escalate privileges. These vulnerabilities are in the IBM Java SDK.

Content:

​For information about the impact of this vulnerability on other affected IBM products, ​refer to this post​ on the Product Security Incident Reporting Team (PSIRT) blog.

VULNERABILITY DETAILS:
CVE IDs: CVE-2012-4820, CVE-2012-4821, CVE-2012-4822, CVE-2012-4823

Description:

There are a number of vulnerabilities in the IBM Java SDK versions that affect various components (ORB, XML and JMX). The vulnerabilities allow code running under a security manager to escalate its privileges by modifying or removing the security manager. Some of the issues need to be combined in sequence to achieve an exploit.

An attacker could persuade a user into running Java code from an untrusted, malicious source resulting in privilege escalation. The attacker must convince the Notes user to click on a malicious Notes:// URL which, in turn, runs a Java agent, applet or XPages application. The attack against the Domino server can be exploited only by an authenticated user with the rights to run LotusScript or Java agents on the server.

Affected Plattform: Lotus Notes 8.0.X, 8.5, 8.5.X, 8.5.3 FP3

Fix : 8.5.3 FP3 or security patch

Technote#1616652 

Abstract: A security vulnerability exists in the IBM Lotus Notes URL handler which permits remote code execution. Malicious URLs could allow remote attackers to execute arbitrary code on installations of Lotus Notes

Affected Plattform: Lotus Notes 8.0.2, 8.5, 8.5.1, 8.5.2, 8.5.3

Fix : 8.5.3 FP2

Quelle : xforce

Technote#1598348 

Achtung: IBM stellt Fixes zur Behebung potenzielle Sicherheitslücken in Lotus Notes Datei Viewer für IchiTaro Dokumente bereit
ALERT: Fixes for potential security vulnerabilities in IBM Lotus Notes file viewers when viewing Ichitaro documents

betroffene Dateitypen:

• jaw = IchiTaro Web Erweiterte Japanische Textverarbeitung der Justsystem Corporation

gefixt in :

• 8.5.2 FP3
• 8.5.3

Secunia Advisory SA44310

Technote #1566925

Bemerkung:  für meine international tätigen Kunden: IchiTaro Filter gibt es nicht in den neuen  Desktopsettings

Mehr Infos gibt es hier:

Hinweis:
Regelmäßig stellt der Lotus Notes File/Datei Viewer eine potenzielle Sicherheitslücke dar (Security – buffer overflow vulnerabilities). ( siehe zum Beispiel Blogeintrag)
Bisher war die Lösung ( bei meinen Kunden):

• Clientpatch HotFix
• oder keyview.ini manuell, per Softwareverteilung oder mit Tools wie  MarvelClient anpassen
• oder schon am Server die entsprechenden Attachments zu blockieren

siehe auch Blogbeitrag “Datei Viewer deaktivieren/anpassen”

Mit Release 8.5.3 gibt es nun die Möglichkeit auf einen Flash Alert zum Thema  ”potenzielle Sicherheitslücke im Lotus Notes Datei Viewer”  sofort und ohne grossen Aufwand über eine Einstellmöglichkeit in den  Desktopsettings zu reagieren. ( Bemerkung: soweit die entsprechende angesprochene dll im Settingdokument zur Auswahl steht )

Was passiert am Desktop/Client:

Es werden die entsprechenden Einträge in der keyview.ini einfach deaktiviert.

Beispiel:

Flash Alert von IBM, Secunia oder iDefence:  betroffener Dateityp BMP

Step1: betroffene DLL/Modul –  kpbmprdr.dll (steht in der zugehörigen Alert-Technote) oder fragen Sie Ihren Berater

Step2: Anpassung des Desktopsetting Dokumentes

Die Desktopsetting deaktiviert den Keyview Filter in der lokalen keyview.ini  für das kritische Dateiformat.

Der User der jetzt ein BMP-Attachment  mit dem Viewer öffnen will, erhält eine Meldung.

mein Fazit:
Es wird hier zwar nicht die Ursache der “Sicherheitslücke” gefixt, aber es ist eine einfache Möglichkeit schnell zu reagieren und alle Mal besser als ein Problem zu ignorieren.

getestet mit: Lotus Domino 8.5.3 Engl. – Lotus Notes Standard 8.5.3 Engl.

Quelle: IBM

Immer wieder stellt sich der Datei-Viewer als Security Problem dar und hier kann und sollte schnell reagiert werden.

• Einspielen des aktuellen Fix (sofern schon vorhanden)
• Deaktivieren des Datei-Viewers
• Anpassung des Datei-Viewers
• Löschen der betroffenen DLL

Deaktivieren  des Datei-Viewers

Löschen der Datei keyview.ini
Der Anwender erhält beim Klick aud die Option “Ansicht”

folgende Meldung ”  Die Betrachter-Konfigurationsdatei wurde nicht gefunden”

——————————————————————————————

Anpassung des Datei-Viewers

Deaktivieren der betroffenen DLL in der keyview.ini durch auskommentieren (;) der betroffenen DLL

Beispiel: aktuell aus 8.5.2 FP2 Interim Fix 1 betroffene DLL (Excel Document xlssr.dll )

Der Anwender erhält beim Klick aud die Option “Ansicht” folgende Meldung ” Das Anzeigefenster des Betrachters konnte nicht initialisiert werden”

——————————————————————————————

Löschen der betroffenen DLL

Der Anwender erhält beim Klick aud die Option “Ansicht” folgende Meldung ” Das Anzeigefenster des Betrachters konnte nicht initialisiert werden”

Betroffen sind:

• LZH archive
• RTF document
• Applix Spreadsheets
• Microsoft Excel document
• Microsoft Office document
• Lotus Notes .prz file
• Lotus Notes .zip file

gefixt in:

8.5.2 FP3 (Juli 2011)

8.5.3 (Q3 2011)

Achtung: IBM stellt Fixes zur Behebung potenzielle Sicherheitslücken in Lotus Notes Datei Viewer bereit
(ALERT: Fixes available for potential security vulnerabilities in Lotus Notes file viewers)

betroffene Dateitypen:

• Tabellenkalkulation Lotus 1-2-3
• Microsoft Office Spreadsheet
• Microsoft Office Word
• Microsoft Word 2.0
• OLE-Dokument
• QuattroPro Speed Reader
• WordPerfect 5

gefixt in :

• 8.5.1 FP4:  (Erscheinungdatum  04.08 2010) Status Gold Candidate
• 8.5.2:  (Erscheinungsdatum Q3 2010) Status Code Freeze
• 8.0.2 FP6: release (26.07 2010)

für alle anderen Releases steht hier ein Keyview Security Patch zum download bereit

Mehr Infos gibt es hier: