网络安全简报.docVIP

PAGE PAGE 1 网络安全简报 电力行业网络与信息安全领导小组办公室 2010年10月14日 关于IBM 公司Lotus Domino/Notes群件平台 存在密码散列泄露严重漏洞的情况通报 据国家有关部门通报，近日国家信息安全漏洞共享平台（CNVD）对美国IBM公司Lotus Domino/Notes 群件（简称Domino群件）平台密码散列泄露漏洞进行了分析，认为攻击者利用该漏洞可以还原强度不足的所有用户密码，从而可以取得相关用户的全部邮件信息。鉴于Domino 群件在国内用户广泛，即便部署在与互联网隔离的内网，也可能遭受来自内部的攻击而带来严重的失泄密隐患，因此需引起高度重视。现将具体情况通报如下： 漏洞信息描述 Domino 群件是IBM公司开发的一个基于Web进行协同工作的软件包，广泛应用于各个行业，它可以运行于包括Windows和Unix等多种操作系统中。该系统在使用默认设置情况下存在密码散列泄露漏洞，攻击者可以通过远程对保存有大量邮件地址信息的Domino群件后台数据库文件（names.nsf）进行访问，得到全部用户的登录名、邮件地址等信息，进而利用系统设计缺陷，远程获取全部用户密码的散列值。攻击者可以对密码进行暴力破解，还原强度不足的所有用户密码。如果管理员密码被还原，攻击者可以进而获得服务器系统的控制权。 2010年3月9日IBM公司发布安全公告指出，在其Domino群件系统中存在HTTP密码散列泄露问题，并给出一个变通解决方案进行修复。2010年4月13日，美国Digital Security公司发布了针对该漏洞的攻击教程，详细描述了该漏洞的利用方法，并提供了自动化的攻击脚本。国家信息安全漏洞共享平台（CNVD）确认该攻击方法有效。 二、漏洞现状及危害 针对该漏洞，IBM公司官方发布相关安全公告及变通解决方案，建议用户对Domino 群件目录进行访问控制，禁止匿名用户访问，提高攻击难度；建议用户修改默认配置，禁止向用户返回密码的散列值，避免密码被暴力攻击；强制用户使用更强壮的密码，增加暴力攻击的难度。通过采取这三步措施，能够有效紧急修复该漏洞。 由于IBM在随后推出的Domino 群件新版本中，仍未将存在漏洞的默认选项进行强制修复，且Domino 群件管理配置相对复杂，针对安全漏洞及修复的宣传不足，未引起开发商和最终用户的足够重视，目前大量用户仍选择使用默认配置并处在漏洞威胁之下。 三、漏洞修补方法建议 （一）针对IBM Lotus Domino/Notes群件平台密码散列泄露漏洞临时修补方法建议 1、在服务器针对names.nsf数据库的访问控制列表中，将“Anonymous”设置为“No Access”，“Default”设置为“Reader”； 2、在服务器目录属性中，选中“Use more secure Internet password format.”，将密码存储算法设置为“Salted Hash”（仅Domino 5.0.6或更高版本支持）； 3、在Domino设计器中打开“Person”表格，选择“Design”，选择“Form Properties”，在第二个选项卡，禁用“Generate HTML for all fields.”选项，隐藏网页源代码中的密码散列字段； 4、强制用户设置足够强壮的密码，要求不低于8位，混合使用大小写字母、数字和符号。 （二）IBM公司针对 Lotus Domino/Notes群件平台密码散列泄露的变通修复建议 对于在Domino Directory中存储的密码，管理员可以配置xACLs以限制用户访问及设置密码，并允许管理员改变策略。 设置方法： 1、首先启用扩展的Domino目录访问：? 打开数据库，然后选择文件 - 数据库 - 访问控制 确保有数据库的ACL的管理员权限 单击高级，然后选择“启用扩展访问” 点击“确定”? 如果数据库ACL的高级选项“Enforce a consistent Access Control List across all replicas”尚未启用，会出现提示“Consistent access control must be enabled first. Do you want to enable it now? 一致的访问控制，必须首先使。你想要启用它吗？”，点击“确定” 提示“If more than one administrator manages extended access control for this database, enable document locking on the database to avoid conflicts. 如