IBM Lotus Domino, odkrytí citlivých informací

IBM Lotus Domino ve verzi R6, R5 a pravděpodobně i starší obsahuje chybu, která umožňuje vzdálenému autentizovanému uživateli vidět některé citlivé informace. Pokud si útočník otevře adresář kontaktů - Public Address Book (soubor „names.nsf”), zobrazí se mu v prohlížeči údaje o všech osobách s tím, že některá pole, například pro heslo (HTTPPassword), budou prázdná. Pak už jen stačí nechat si zobrazit zdrojový kód stránky a podívat se na hidden pole s názvem „HTTPPassword”, které obsahuje zahešované heslo. Navic Lotus Domino nepoužívá při zahešovaní hesla žádný náhodný prvek („salt”).....
Podobně jsou na tom ostatní citlivé informace, které jsou viditelné pouze ve zdrojovém textu stránky: datum změny hesla (HTTPPaswordChangeDate), klientská platforma (ClntPltfrm), jméno klientova stroje (ClntMachine) a verze Lotus Domino (ClntBld). Výrobce zveřejnil postup, jakým lze tuto chybu eliminovat, dočtete se jej v původním oznámení (pdf).