Wer bei der Bearbeitung von Projekten auf die Groupware-Software HCL Notes setzt, sollte diese aufgrund einer jüngst entdeckten Sicherheitslücke auf den aktuellen Stand bringen. Auch der Web-Client iNotes ist verwundbar.

DoS, Schadcode, XSS

HCL Notes ist eng mit einer E-Mail-Anbindung verzahnt. Eine Schwachstelle (CVE-2020-14224) betrifft den Umgang mit MIME-Mails. Hier könnte ein entfernter Angreifer mittels einer präparierten Nachricht einen Speicherfehler (buffer overflow) provozieren. Das endet in einem Absturz (DoS). Unter Umständen ist sogar die Ausführung von Schadcode mit den Rechten des Opfers vorstellbar, warnen die Entwickler in einem Beitrag.

Die Lücke ist mit dem Bedrohungsgrad "hoch" eingestuft. Davon ist ausschließlich die Version 9 betroffen. Admins sollen den HCL-Support für eine reparierte Version kontaktieren.

Die zweite Schwachstelle (CVE-2020-14271) betrifft den Web-Client iNotes. Setzt ein Angreifer erfolgreich an der Lücke an, könnten er eine XSS-Attacke ausführen und so eigenen Code in Webbrowser schieben. Die iNotes-Ausgaben 9, 10 und 11 sind verwundbar. Die Entwickler haben die Schwachstellen in den Versionen 10.0.1 FP6 und 11.0.1 FP2 geschlossen. Die Lücke ist ebenfalls mit "hoch" eingestuft.

