Menü
Security

Lotus Sametime exponiert Passwörter im Klartext [Update]

Von
vorlesen Drucken Kommentare lesen 53 Beiträge

Der Instant-Messaging-Experte Carl Tyler hat auf seiner Website eine Sicherheitslücke in IBMs Instant-Messaging-Software Lotus Sametime offenbart, die bisher nicht thematisiert wurde, obwohl sie im Sametime-API dokumentiert ist. So kann ein Sametime-Plug-in vom Sametime-Client das Kennwort des Benutzers im Klartext abfragen. Das ist insbesondere deshalb kritisch, weil Sametime in der Regel auf ein Enterprise Directory zurückgreift, das auch andere Anwendungen schützen soll. Das kann ein Active Directory, das Domino Directory oder irgendein anderes LDAP-Verzeichnis sein.

Der Lotus Sametime-Client basiert seit der Version 7.5 auf Lotus Expeditor, einer IBM-Distribution der Eclipse Rich Client Platform. Diese Plattform erlaubt es Anwendern, den Sametime-Client um selbstgeschriebene oder zugekaufte Plug-ins zu erweitern. In der ersten Version 7.5 reichte es aus, das Plug-in in den Verzeichnisbaum zu kopieren; seit der Version 7.51 muss das Plug-in über den Client registriert werden. Aktuell liefert IBM die Version 8.0 aus; im Laufe des Jahres soll 8.5 folgen.

Die Installation von Plug-ins lässt sich über Policies vom Server aus steuern. So kann der Administrator Plug-ins auf alle Clients laden oder etwa dem Anwender verbieten, Plug-ins selbst zu installieren oder deinstallieren. Die Policies lassen sich jedoch dadurch umgehen, dass sich der Anwender in einer anderen Community anmeldet, welche die Installation von Plug-ins nicht kontrolliert. Einmal installierte Plug-ins bleiben erhalten.

Die API-Funktion getpassword() wurde in Sametime 7.5 eingeführt, um in bestimmten Szenarien eine automatische Anmeldung (SSO, Single Sign-On) zu ermöglichen. Normalerweise wird in der IBM-Welt das LTPA-Token für diesen Dienst genutzt. Das funktionierte in 7.5 noch nicht, so dass IBM diese Passwort-Abfrage einführte. Seit der Version 7.5.1 aber ist Sametime in der Lage, das LTPA-Token zu verwenden.

Die Funktion getpassword() liefert nur dann das Kennwort, wenn sich der Anwender am Sametime-Client selbst angemeldet hat. Benutzt er stattdessen eine LTPA-Authentisierung oder den im Notes-Client eingebetteten Sametime-Client mit gemeinsamer Anmeldung, dann liefert die Funktion das Kennwort nicht, da es dem Sametime-Client nicht bekannt ist.

Update:
Mittlerweile gibt es eine Stellungnahme von IBM zu diesem Thema, die aber inhaltlich nichts Neues enthält. (Volker Weber) / (vowe)