Achtung: Sicherheitslücke in IBMs Notes Updater

Falls noch jemand von euch für die Administration von IBM Notes-Clients (Notes 8.5 und 9.0) zuständig ist, solltet ihr dringend updaten. Im Update-Dienst für die Clients gibt es eine Sicherheitslücke, über die Angreifer bösartigen Code ausführen können.

Bug im Notes-Auto-Updater

In einer Sicherheitsmitteilung (Security Advisory) informiert IBM, dass der Notes Smart Updater Service (Update-Dienst) eine Sicherheitslücke aufweist. Der Dienst ist für die Upgrades von Notes auf dem Desktop zuständig und kann über eine Schwachstelle dazu verleitet werden, bösartigen Code aus einer DLL auszuführen, die sich als Windows-DLL im temporären Verzeichnis ausgibt.

Notes 8.5 und 9.0 von CVE-2017-1711 betroffen

Lasse Trolle Borup von der dänischen Firma Improsec hat den Bug in diesem englischsprachigen Blog-Beitrag veröffentlicht. Die mit CVE-2017-1711 bezeichnete eine Privileg Escalation-Schwachstelle im IBM Notes Smart Update Service und betrifft IBM Notes 8.5 und 9.0.

Lasse Trolle Borup schreibt, dass sich der Dienst in das TEMP-Verzeichnis kopiert und sich dann dort ausführt. Er vermutet, dass dies notwendig ist, für den Fall, dass der Update-Dienst seine eigene ausführbare Datei aktualisieren muss. Das Problem dabei ist, dass normale Benutzer zwar nicht den Inhalt von TEMP auflisten dürfen, aber trotzdem Dateien schreiben können.

IBM hat einen zweiten Sicherheitshinweis bezüglich des gleichen Fehlers im IBM Client Application Access veröffentlicht. Inzwischen stehen für beide Pakete Updates von IBM zur Verfügung.