Nueva vulnerabilidad en Lotus Notes 5

Las contraseñas de usuario podrían ser reveladas sin permiso del mismo.

Se ha descubierto una vulnerabilidad en Lotus Notes 5 y posteriores que podría ser aprovechada por un atacante para revelar información del sistema.

La función debug puede ser utilizada para escribir un fichero que contenga la nueva contraseña de usuario en texto claro añadiendo las dos siguientes líneas al archivo Notes.ini

KFM_ShowEntropy=1

Debug_Outfile=c:testvowe.txt

Si un atacante tuviera acceso físico al fichero Notes.ini y al fichero Notes.id, que es cifrado y descifrado con la contraseña del usuario, podría suplantar la identidad de un usuario y autenticarse contra el servidor.

No se ha publicado ninguna solución oficial a este problema. Como contramedida se recomienda:

Para la versión 7 y posteriores se recomienda establecer las configuraciones de Notes.ini en la política de la máquina.

Según la versión 6 debería añadirse un campo $PrefKFM_ShowEntropy con valor 0 en el documento de la política.

Con el siguiente script configurado para que se ejecute siempre que un usuario abra la base de datos del correo también se conseguiría el mismo efecto que con la contramedida anterior.