G 3.113 Fehlerhafte Konfiguration eines Lotus Notes Clients oder eines Fremdclients mit Zugriff auf Lotus Domino

Für die betrachteten Lotus Domino Versionen 8.x können verschiedene Clientkomponenten eingesetzt werden. Dazu zählen die Lotus Notes Clients (Standard Client, Basic Client, Entwickler-Client und administrativer Client), Browser (über iNotes), spezielle Clients für PDAs (und andere mobile Endgeräte) und fremde E-Mail-Clients mit Domino-Zugriff über POP3 und/oder IMAP-Schnittstellen. Die fehlerhafte Konfiguration einer Clientkomponente kann die Verfügbarkeit, Vertraulichkeit oder Integrität von Daten der Lotus Notes/Domino-Plattform beeinträchtigen und erfolgreiche Angriffe auf die Plattform ermöglichen.

Beide Lotus Notes Fat Clients der Versionen ab 8.x sind komplexer als die der Vorgängerversionen. Der Standard Client erbt die Komplexität des Eclipse-Frameworks und der Basic Client ist durch die zunehmende Komplexität der Lotus Notes Dienste geprägt. Dies erhöht die Wahrscheinlichkeit fehlerhafter Konfigurationen.

Einige typische fehlerhafte Konfigurationen eines Lotus Notes Clients werden im Folgenden aufgeführt:

Die aufgeführten Problemfelder sind Beispiele für mögliche Gefährdungen durch clientseitigen Fehlkonfigurationen. Abhängig vom jeweiligen Einsatzumfeld können weitere Gefährdungen hinzukommen.

Auch bei der Nutzung von Browsern als Notes Clients (über iNotes oder den Domino-Webserver) und bei speziellen Clients für PDAs und vergleichbare mobile Endgeräte wie auch bei der Nutzung von "fremden" E-Mail-Clients über POP3- und/oder IMAP-Schnittstellen kann eine fehlerhafte Konfiguration zu Sicherheitsproblemen führen. Dies ist abhängig von den Konfigurationseinstellungen des verwendeten Browsers oder der fremden Clients und kann z. B. die Ausführung aktiver Inhalte im Browser bzw. Client oder die Kommunikation zum Domino-Server betreffen.

Beispiel:

Von einem gestohlenen Laptop ohne Festplattenverschlüsselung mit Lotus Notes Client werden aus der unverschlüsselten lokalen Replik der E-Mail-Datenbank E-Mails mit vertraulichen Inhalten kopiert und deren Inhalt Wettbewerbern oder der Presse zugespielt.