Dansk firma finder to nye sårbarheder i IBM Notes

Illustration: ADragan/Bigstock
I dag offentliggør det danske sikkerhedsfirma Improsec to nye sårbarheder i IBM Notes. Sårbarhederne gjorde det muligt at opnå fuld kontrol over maskinerne, der benyttede softwaren.

Under arbejdet med en sikkerhedsanalyse for en kunde har det danske sikkerhedsfirma Improsec opdaget sammenlagt otte sårbarheder i e-mail- og kalenderplatformen IBM Notes.

De sidste to er netop offentliggjort her til morgen. Sikkerhedshullerne gjorde det muligt at opnå fuld adgang som lokal administrator, skriver firmaet på deres blog, hvor de også har en teknisk gennemgang af sårbarhederne.

Maskinerne var sendt til firmaet for at blive testet for netop den slags sårbarheder.

»Der var lavet næsten alle fejl, man kan lave i en klient-applikation,« fortæller CEO i Improsec Jakob H. Heidelberg, efter firmaet nu har offentliggjort tekniske detaljer om de sidste to sårbarheder i IBM Notes.

I overensstemmelse med Improsecs politik om ansvarlig afsløring (responsible disclosure) af sårbarheder, kontaktede de IBM med henblik på afhjælpning af problemerne.

IBM: Meget alvorligt

Begge sårbarheder er klassificeret af IBM som værende meget alvorlige med en CVSS (Common Vulnerability Scoring System) score på 7,8 for begge sikkerhedshuller.

IBM udbad sig i første omgang mere tid til at teste deres løsning på problemet og fik udsat tidsrammen til den 22. marts 2018. Alligevel gik de allerede ud med deres fixes den 9. marts 2018.

»Det overrasker os lidt. Det er ikke det, vi normalt ser,« fortæller Jakob Heidelberg, der dog er positiv over IBMs håndtering af sagen.

Tidligere fund fra Improsec

Det er ikke første gang, Improsec truer med at lufte andres sure IT-underbukser.

Den 12. marts 2018 kunne Improsec løfte sløret for sårbarheder, der var fundet i sikkerhedssoftwaren Heimdal, og i februar 2018 var den også gal med IBM Notes, der også dengang havde problemer med kode, der kunne tillade privilege escalation via lokale computere.

I juni 2017 var Improsec ligeledes nødt til at true IBM med at gå offentligt ud med sårbarheder i deres Tivoli Storage Management-produkt, hvis ikke de blev rettet. Den sag skrev vi meget mere om lige her på Version2.dk.

Læs også: Sårbarhed kendt i måneder: IBM reagerer først efter trussel om offentliggørelse fra V2-blogger

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Larsson

At finde sårbarheder i diverse virksomheders software er noget der sker meget tit i it sikkerhedsvirksomheder.
De fleste er bare holdt op med at lave medie historier ud af det.
Historier om fejl på klienter i diverse ikke udbredte løsninger kommer let til at overskygge den vigtige dækning af sikkerhed.
Sikkerhedsbranchen skal sørge for ikke at råbe for højt om alting - hvis budskaberne skal tages seriøst på ledelsesniveau.
Og dette gælder i høj grad også snakken om GDPR,

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize