Un grave agujero de seguridad en Lotus Notes hacía que los nombres de los usuarios y sus correspondientes passwords quedaran almacenadas y accesibles en un archivo en texto plano.
Lotus reconoció la pasada semana la existencia de este agujero, que afecta cuando se da una combinación de características bastante recuente en entornos corporativos. Se ven afectados por el problema aquellos usuarios de Lotus Notes que utilicen junto con el cliente el navegador Microsoft Internet Explorer a través de un servidor proxy.
Si la configuración personalizada de cada usuario hace que su página de inicio se abra en el navegador, el nombre del usuario y su password se guardan en una cache, que desafortunadamente consiste en un archivo de texto plano en el cual es fácil consultar dicha información.
Los desarrolladores de Lotus estás trabajando en características de cifrado que serán incluidas en la próxima versión de Notes. Hasta la llegada de la nueva y esperada versión de Lotus Notes, la compa_¡a ofrece como soluci¢n al error el cifrado local en los PCs con clientes Notes R5 de la base de datos ‘PERWEB.NFS’, archivo en el que se guarda la informaci¢n de nombre de usuario y password.
M s informaci¢n:
VNUnet
http://www.vnunet.com/News/104037
Antonio Ropero
antonior@hispasec.com
