Замечание к документу "JCHN547JWV, JCHN4UMKLA - не уверен, что именно они, но очень похоже."   >>>   
Тема: Нет. Это другие баги... (++)

Создан:Alex G. Taranenko 02/22/2002 12:01 AM
Модифицирован:Alex G. Taranenko 02/22/2002 10:44 AM
Папка:
00. Организационные вопросы, 01. Технические вопросы, 07. Разработка Web-приложений, 09. Администрирование Notes & Domino, 99. Разное		Тип сообщения:
Коментарий
Сообщение:
...Судя по номерам это пофиксили возможность DoS-атаки [Баги №1].
Также в 5.0.9а похоже пофиксили DoS через SSL порт.

А та "бага" по которой задали вопрос...
У меня тоже не получилось ее подтвердить(на log.nsf и других базах).
ИМХО ноги растут от старого прикола который состоит в том, что
почему то для многих шаблонов не проставляется Ananymous=No Access
при установке сервера (несмотря на явное указание чекбокса на финальном этапе
установки добавить пользователя Ananymous с No Access).
Самое забавное что не проставлялся Ananymous=No Access для шаблона webadmin.ntf ;((
После публикации [Бага №3] я вообще снес их нафиг.

To Cos Kosarev:
(http://www.intertrust.ru/site/itforum.nsf/all/603EC9A4F99DE958C3256B6600317CD6?OpenDocument)

>На тестовом сервере был совершен вход в webadmin anonymouso'm
>Из логов:
>Addin: Agent message box: Web Administration initiated by Anonymous
Проверьте ACL на webadmin.ntf и возможно Вы приятно удивитесь... ;)


To All:
Я честно говоря прочитал этот трид и удивился.
Такое впечатление что народ не подписан на Bugtraq... :(
И вообще. Cейчас слегка начал писать под веб, и полазил по руским сайтам на
Domino... Так встречал даже ниже 5.0.5, у которых насколько я помню были
серьезные проблемы с SMTP...
ИМХО вопросам безопасности Domino нужно уделять значитедьно
больше внимания.

=======================[Баги №1]================================

-=>Lotus Domino Webserver DOS-device Denial of Service<=-
courtesy of KMPG Denmark

BUG-ID: 2002004 Released: 4th Feb 2002
--------------------------------------------------------------------
Problem:
========
The Domino Webserver does not handle URL request for DoS-Devices
correctly. This vulnerability can be exploited by a malicious user
to bring down the webserver.

Vulnerable:
===========
- Lotus Domino Webserver prior to 5.0.9a on Windows 2000

Details:
========
there are two issues in the Domino Webserver that give similar
results when exploited.

First issue)
A request for a DOS-device from CGI-BIN with any given extension
is accepted by the server as a valid request and is passed on
the to cgihandler (nhttpcgi.exe). Due to the nature of DOS-
devices (CON, AUX, PRN etc.) the process never releases the file
again, and when Domino's limit of 400 working threads has been
reached, the server will no longer accept requests.

Second issue)
Requesting a DOS-device (eg. NUL) from CGI-BIN with an extension
of 220 chars (eg. 220x"a") results in the server spawning
cmd.exe to run, in this case, nul.pif. The server will then pop
up a window, asking which file you want to open nul.pif with.
This can be done 400 times, before the server runs out of
working threads or less, if it runs out of memory, since this
attack opens up a lot of processes.

Vendor URL:
===========
You can visit the vendors webpage here: http://www.lotus.com

Vendor response:
================
The vendor was contacted on the 1st of November, 2001. On the 5th
of November the vendor confirms that they have reproduced the issues
on Windows 2000. The issues were assigned bug id: JCHN4UMKLA and
JCHN547JWV by the vendor. On the 4th of January, 2002, it was
confirmed that the patch corrected the two issues mentioned in this
advisory.

Corrective action:
==================
Upgrade to Domino 5.0.9a, which can be downloaded here:
http://notes.net/qmrdown.nsf


Author: Peter Grьndl (pgrundl@kpmg.dk)

----------------------------------------------
KPMG is not responsible for the misuse of the information we provide
through our security advisories. These advisories are a service to
the professional security community. In no event shall KPMG be lia-
ble for any consequences whatsoever arising out of or in connection
with the use or spread of this information.
-------------------------------------------

===============================================================


=======================[Бага №2]================================
There exists a DOS in the current version of Lotus Domino 5.08 and earlier.

The DOS manifests itself on Lotus Domino servers with the http task
running and ssl enabled.

A connection to the victim on port 443 with the nmap '-sR' switch will
target this port with SunRPC program NULL commands in an attempt to
determine whether it is an RPC port, and if so, what program and version
number it serves up.

Our first attempt brought the domino test server down. Tests on other
setups revealed the same behaviour.

The task that crashes is the nhttp task. It takes down the whole server.

the nmap command used:

nmap -n -p 443 -sR www.vicitim.com

Lotus has acknowledged the issue and the internal reference number is SPR #
MALR4Y6RL8

The issue has been fixed in Lotus Domino 5.09 which is available from
www.notes.net as an incremental upgrade.

================================================================

=======================[Бага №3]================================

NGSSoftware Insight Security Research Advisory

Name: Lotus Domino Web Administrator Template ReplicaID Access
Systems Affected: Lotus Domino 5.x on all operating systems
Severity: High Risk
Vendor URL: http://www.lotus.com/
Author: David Litchfield (david@nextgenss.com)
Date: 29th October 2001
Advisory number: #NISR29102001A


Description
***********
Lotus Domino is an Application server designed to aid workgroups and
collaboration on projects and offers SMTP, POP3, IMAP, LDAP and web services
that allow users to interact with Lotus Notes databases.

NISR have discovered a feature of Domino's web server that allows an
anonymous user to access the Web Administrator template file (webadmin.ntf)
and use some of its functionality. Normally webadmin.ntf should not be
accessible and as such this poses a high security threat to systems running
Lotus Domino.

Details
*******
Lotus Notes Databases can have one of several file extensions such as .nsf,
.ns4 or .box and when the Domino web server receives a client request it
examines the request to decide if it is for a Notes database file. If it is
Domino for looks for the file in the \lotus\domino\data directory; if it is
not Domino looks in another directory: \lotus\domino\data\domino\html. Some
Notes databases are derived from template files that have a .ntf file
extension. These template files exist in the same directory as their .nsf
children; However, making a request for a template file causes Domino to
search in the latter directory, but as they exist in the former, the web
server fails to find the file and returns a File Not Found (404) reply.

Another way to make a request for a database resource is to use the
database's ReplicaID. A ReplicaID is a 16 digit hexadecimal number that is
use to track concurrent copies of the same database over different systems.
It is therefore possible for a user to access a Notes database template file
by making a request to the web server using the template's ReplicaID. Of all
the templates only the Web Administrator template file seems to be
dangerous. Anonymous users can read any text based file on the system that
Domino has the permission to access as well as enumerate all databases on
the system. If the Domino web service process is running as root or SYSTEM
then an attacker would not be limited to the files they could access. This
problem is further exacerbated by the fact that the webadmin.ntf ReplicaID
is the same on every system running Domino meaning that once an attacker has
the ReplicaID then they will be able to access the Web Administrator running
on any Domino system.


Fix Information
***************
The best course of action is to remove the Web Administrator template from
the system. You should also consider removing the real Web Administrator,
webadmin.nsf as if someone were to gain a vaild user ID and password for
Domino then they will be able to perform undesirable actions against the
system.

Lotus were informed about this issue and, in their next release of Domino,
version 5.0.9, will ensure that the permissions set on the webadmin.ntf file
are such that anonymous access is prevented.

For those worried about attempts to access the Web Administrator template
file and wish to monitor potential attacks, you can get the ReplicaID of
webadmin.ntf from the Domino Catalog, catalog.nsf. Hold the Control, Shift
and H keys down whilst you open the catalog. This key sequence causes the
Notes client to show hidden views as well as visible. One of the hidden
views, $ReplicaID contains the ReplicaID of every database and template on
the system.

A check for this problem already exists in DominoScan, NGSSoftware's Lotus
Domino application security scanner, of which, more information is available
from http://www.nextgenss.com/dominoscan.html . NISR have also written a
white paper on how to secure Lotus Domino's web server available from
http://www.nextgenss.com/papers.html

======================================================================
Иерархия документов данной дискуссии:
Безопасность Domino (Alex Itun) (15.02.2002 12:49:29)
.... А что, действительно работает? У меня не получилось... А это не сайт Акопянца ломали? :-)))))) (-) (Nick A Norkin; VIT Server A) (15.02.2002 17:17:10)
........ У меня тоже не получилось. (-) (Denis U. Ivanov; NotesSrv400) (18.02.2002 10:38:47)
.... А вообще, кто-нибудь смотрел, какие там описаны дырки? Насколько они воспроизводимы? Насколько представляют угрозу? А насколько объясняются кривизной ручек? (-) (Nick A Norkin; VIT Server A) (19.02.2002 8:47:11)
........ Работает. (Cos Kosarev) (19.02.2002 13:08:06)
............ А можно поподробнее? (-) (Nick A Norkin; VIT Server A) (19.02.2002 14:21:36)
................ Подробнее ;) (Cos Kosarev) (20.02.2002 12:00:32)
.................... Только-то и всего? А шуму-то... ;-)) (+) (Nick A Norkin; VIT Server A) (20.02.2002 15:08:43)
........................ Там-же все описано было ;) (Cos Kosarev) (21.02.2002 12:09:42)
............................ Нет, не смог воспроизвести (+) (Nick A Norkin; VIT Server A) (21.02.2002 15:01:17)
................................ JCHN547JWV, JCHN4UMKLA - не уверен, что именно они, но очень похоже. (Dmitry Kovalev; dnet) (21.02.2002 15:26:40)
.................................... Нет. Это другие баги... (++) (Alex G. Taranenko) (22.02.2002 0:01:39)
........................................ Хотел узнать давно уже, а что значит в ACL запись типа [Anonymous]. Что значат вот эти квадратные скобки? (Artem Golovaty; MAIL) (22.02.2002 11:15:15)
............................................ это для создания базы из шаблонов. (Dmitry Kovalev; dnet) (22.02.2002 11:34:55)
............................................ Это значит, что в БД, созданной по шаблону с текущей, будет запись Anonymous (без квадратных скобок) с уровнем доступа, установленном в текущей для [Anonymous]. (Ivan Tsibanenko; MoscowHub) (22.02.2002 11:47:51)
........................................ Договорились... Баг существует, хотя и трудно воспроизводим (+) (Nick A Norkin; VIT Server A) (22.02.2002 9:26:09)
............................................ Вопрос конечно интересный... (+) (Alex G. Taranenko) (22.02.2002 17:49:37)
................................................ Alex, Вам интересно продолжение этого трейда? До всего приходится доходить своими мозгами, и просто приятно обсудить некоторые вещи с другими людьми (+) (Nick A Norkin; VIT Server A) (24.02.2002 13:27:21)
.................................................... У Домино же есть возможность расширения системы авторизации - DSAPI. (Alexander S Gorbunov; BRDOMINO) (25.02.2002 11:13:09)
........................................................ Александр, а что нужно ужесточать в системе авторизации? (Nick A Norkin; VIT Server A) (25.02.2002 13:27:33)
............................................................ Если проследить по обсуждению в данной цепочке, то я говорил о системе слежения за сложностью пароля... (Alexander S Gorbunov; BRDOMINO) (26.02.2002 13:28:11)
................................................................ По моему разумению, механизм DSAPI вешается на механизм авторизации (чтой-то я после обеда косноязычно выражаюсь) (+) (Nick A Norkin; VIT Server B) (26.02.2002 14:17:31)
.................................................................... Можно и так, но тут дырка тогда в защите от администратора... (Alexander S Gorbunov; BRDOMINO) (26.02.2002 17:16:47)
........................................................................ Оргмеры + ECL (Nick A Norkin; VIT Server A) (27.02.2002 8:47:48)
............................................................................ А как быть с изменением пароля через браузер? (Alexander S Gorbunov; BRDOMINO) (27.02.2002 10:39:31)
................................................................................ Никак... Грамотный администратор найдет, в какую дырку здесь просочиться ;-)))) (Nick A Norkin; VIT Server A) (27.02.2002 18:15:26)
.................................................... Конечно... (+) (Alex G. Taranenko) (24.02.2002 21:23:33)
........................................................ Простите, Alex, тут я не ту опцию указал... Как насчет вот этого? (Nick A Norkin; VIT Server A) (25.02.2002 11:59:48)
............................................................ Уже легче... (+) (Alex G. Taranenko) (25.02.2002 19:51:47)
........................................................ У меня неплохо живут почтовые ящики в поддиректории mail\...\ (+) (Nick A Norkin; VIT Server A) (25.02.2002 12:11:11)
.................................................... Да, господа, благодарю покорно, я в это время сервера до 5.0.9.а абгрейдил :) (Alex Itun) (26.02.2002 23:44:12)
........................................................ А старушка в это время мыла фикус на коне (-) (Grigory A. Brumberg; NotesSrv400) (27.02.2002 10:25:31)
............................................................ :)) (Alex Itun) (27.02.2002 13:55:27)
................................................ Нууу....сколько пыли из ничего(+) (Karandin Stepan) (22.02.2002 19:26:30)
.................................................... Спасибо за советы. Но... (+) (Alex G. Taranenko) (24.02.2002 18:50:42)
........................................................ хм....ну что я все "мимо кассы" ж))) (+) (Karandin Stepan) (26.02.2002 14:58:33)
........................................................ Извините, что вмешиваюсь, но... (Constantin A Chervonenko) (25.02.2002 1:11:50)
............................................................ Согласен... (+) (Alex G. Taranenko) (25.02.2002 10:51:36)
................................................................ Интересно... А подробнее? (Constantin A Chervonenko) (25.02.2002 15:49:08)
.................................................................... Пожалуйста... (Alex G. Taranenko) (25.02.2002 18:48:43)
........................................................................ Спасибо! Вот только... (Constantin A Chervonenko) (25.02.2002 21:14:58)
............................................................................ Тогда "ой!"... (+) (Alex G. Taranenko) (26.02.2002 9:51:40)
................................................ прошу прощения что так поздно, но все таки... (Rodion P Varenikov) (05.03.2002 8:38:40)
.................................................... (+) (Dmitry Kovalev; dnet) (07.03.2002 10:29:08)
........................................................ www.domain.ru ? (Alexander M. Savelyev; InterTrust) (07.03.2002 17:55:43)
............................................................ а мне надо было свой домен написать? :-) (Dmitry Kovalev; dnet) (20.03.2002 14:57:58)
................................................................ И дать личный ключ... От квартиры, где деньги лежат. (Ivan Tsibanenko; MoscowHub) (20.03.2002 15:09:31)
........................................................ на то и щука в реке, чтоб карась не дремал (Rodion P Varenikov) (11.03.2002 9:10:38)
........................................ наверно другие, но эти баги в 5.0.9a тоже пофиксили (Dmitry Kovalev; dnet) (22.02.2002 10:43:17)
........................ Почему я поднял эту тему: (Alex Itun) (20.02.2002 16:46:48)
............................ Алексей, моя реакция относилась не к Вам... Я сам бы хотел знать, что происходит... (+) (Nick A Norkin; VIT Server A) (20.02.2002 17:51:11)
............................ ну отреагировали они уже, отреагировали ) (Dmitry Kovalev; dnet) (20.02.2002 16:52:55)
.................... на 5.0.9a эта дырка закрыта (Dmitry Kovalev; dnet) (20.02.2002 12:52:59)
............ Что при этом получается ? Становишься manager-ом ? Обходишь все readers поля ? (Denis U. Ivanov; NotesSrv400) (19.02.2002 16:00:19)
.... Безопасность Domino (Alex Itun) (15.02.2002 12:49:29)
.... Безопасность Domino (Alex Itun) (15.02.2002 12:49:29)


Разработчикам и администраторам: курсы, книги, сертификация