HCL meldet eine Sicherheitslücke im HCL Domino Server. Diese, mit 8.4 relativ hoch bewertete, Sicherheitslücke entsteht durch einen Fehler in der verwendeten Apache Tika Bibliothek.

Es gibt wenig Details außer, dass die Lücke ausgenutzt werden kann, indem man dafür sorgt, dass eine manipulierte PDF-Datei für Volltextsuche indiziert wird. Laut CVSS Vector gibt es keinen Wechsel des Scope. Das bedeutet, dass sich die Lücke ausschließlich auf den Kontext des Domino-Servers bzw dessen Nutzer bezieht. Unter Windows, wo der Domino-Server noch oft als Local System läuft (das muss nicht so sein, sprechen Sie uns an), hat das weitergehende Konsequenzen als unter Linux mit einem meist eingeschränkten Nutzer.

Ich offenbare möglicherweise meine Unwissenheit, indem ich die Bewertung des Attack Vectors mit "local" kritisiere, da der Versand einer E-Mail an ein volltextindiziertes Postfach ausreichen könnte und damit der Vector in meine Verständnis nicht mehr "local" ist, aber das sind Feinheiten.

Was ist Tika?

Tika ist ein, vom Domino Server lokal gestarteter Server, der für die Volltextindizierung von Dateianhängen in Notes Dokumenten genutzt wird. Wann immer in der Konfiguration des Volltextindex die Indizierung von Dateianhängen mit "Conversion Filter" aktiviert ist, kommt Tika dafür zum Einsatz:

Der Conversion Filter ermöglicht die Indizierung auch solcher Dateien, die nicht tatsächlich einfache Textdateien sind bzw hauptsächlich ASCII Text beinhalten - wie zum Beispiel PDF-Dateien.

Fix

HCL arbeitet an einem Fix für die Lücke.

Inoffiziell, aber aus zuverlässiger Quelle, wird über die Möglichkeit berichtet, die zugehörige Bibliothek von Tika durch eine aktuellere von der Projektseite auszutauschen. Ich selber habe das nicht getestet und es funktioniert wohl auch nur für Domino 14 und aufwärts.

Domino 12 verwendet eine JVM, die veraltet ist und daher auch von Tika nicht mehr unterstützt ist. Das ist für HCL jetzt eine Herausforderung, da sie versuchen müssen, die Bibliothek zurück zu portieren, um sie auch mit Java 8 laufen lassen zu können.

Mitigation

Es gibt verschiedene Möglichkeiten, das Problem auf Kosten von Funktionalität zu verkleinern:

a) Umstellung auf den alten (legacy) Volltextindex, der noch kein Tika eingesetzt hat durch den notes.ini Parameter

FT_INDEX_ATTACHMENTS=1

b) Deaktivierung der Indizierung von PDF Dateien durch den notes.ini Parameter

FT_INDEX_IGNORE_ATTACHMENT_TYPES=*.pdf

Ausblick

Aufgrund der oben genannten Schwierigkeiten mit der Aktualisierung für alle Domino Versionen hat Daniel Nashed eine Idee im Ideenblog eingebracht.
Die Idee ist, Tika als "externen" Server laufen zu lassen und ihn von Domino mitnutzen zu lassen.
Wer das sinnvoll findet, lässt ein "like" (und ein Abo) da.

Um Fix oder Mitigation bei Ihnen zu implementieren, kontaktieren Sie uns gerne.