IBM hat eine Technote zu den Best Practices for the EFAIL S/MIME Vulnerability veröffentlicht.

Das als „EFail“ bekannt gewordene wurde zunächst als Problem in PGP oder S/MIME-Verschlüsselung fehlinterpretiert, ist aber eigentlich ein Fehler des Mail-Clients. Wenn diesem fehlerhafte Bild-URLs zum Nachladen untergejubelt werden, lädt er unter bestimmten Umständen den Inhalt der gerade geöffneten Mail auf den Server hoch, auf den die URL zeigt. Das betrifft dann unglücklicherweise auch ursprünglich verschlüsselte Mails, die am Client aber im Klartext angezeigt werden.

Notes ist im Grunde dann betroffen, wenn eine eingehende Mail entweder vorher schon am Gateway oder im Client entschlüsselt wird. Letzteres kann Notes out of the box nur für S/MIME. Der Angriff setzt allerdings voraus, dass der Angreifer die Mail auf dem Transportweg oder im Postfach modifizieren konnte, der Benutzer die Nachricht über die defekte dig. Signatur ignoriert und die Bilder nachlädt.

Auf den Schutz der Nachricht zielen auch die Empfehlungen ab, u.a.:

  • ECL konfigurieren bzw. den Active Content Filter in iNotes nutzen (default aktiv)
  • ACLs sicher konfigurieren
  • Transportweg der Mail verschlüsseln (TLS zw. Mailservern)

Der eigentliche Bug im Client ist nicht behoben. Siehe auch diese Antwort des HCL Developments an mich auf Twitter:

Assuming the attacker was able to get through all the hurdles to actually modify the encrypted message with decryptable content and the end user ignored the broken signature and chose to ’show images‘ then yes, the content could be sent to the attacker.

 

Weitere Artikel

Updates für Notes, Domino und Verse on Premises

IBM hat diese Woche Updates für Notes, Domino und Verse on Premises veröffentlicht: Verse on Premises 1.0.4 Die Version 1.0.4 erlaubt jetzt 30 Tage Offline-Speicher, die Annahme von Einladungen direkt aus der Kalender-Ansicht heraus und bietet neue APIs und verbesserte Möglichkeiten zur Anpassung der Oberfläche an. Vorausgesetzt ist Domino 9.0.1 FP10 auf Windows 64 oder

View Full Post

;

E-Mailarchivierung mit IBM Domino und ELO – Stadtwerke Ettlingen

Referenzstory - Referenz

Einführung der ELO E-Akte bei der großen Kreisstadt Ellwangen

Referenzstory - Referenz

Papierlose Gremienarbeit in der Gemeinde Bollschweil

Referenzstory - Referenz

X[contact-form-7 id="26826" title="Contact form 1"]


© n-komm GmbH 2018