Bundesamt für Sicherheit in der Informationstechnik

G 5.100 Missbrauch aktiver Inhalte beim Zugriff auf Lotus Notes/Domino

Für Lotus Notes/Domino-Datenbanken können aktive Komponenten definiert werden, die beim Eintreten gewisser Ereignisse, wie der Eingabe von Daten in definierte Felder, ausgeführt werden. Die aktiven Komponenten bestehen dabei z. B. aus Lotus Script- oder auch Java-Programmen und werden Agenten genannt. Durch die Ausführung eines Agenten können wiederum andere Agenten gestartet werden ( z. B. wenn ein Agent Daten in eine andere Datenbank kopiert und diese Aktion das Ausführen von Agenten der Zieldatenbank auslöst). Generell kann zwischen serverseitiger und clientseitiger Ausführung von Agenten unterschieden werden, es sind jedoch immer beide Varianten möglich.

Darüber hinaus können sowohl in Lotus Notes Clients wie auch in zum Zugriff auf Lotus Domino genutzten Browsern oder fremden Clients aktive Inhalte zur Ausführung kommen.

Damit ist die Möglichkeit eines Angriffs auf die Lotus Notes/Domino-Plattform durch das Einschleusen schädlicher aktiver Inhalte (malicious active content) gegeben. Vielfach materialisiert sich diese Gefährdung nur bei fehlerhafter Konfiguration des Lotus Domino Servers oder des genutzten Clients. Diese Situationen werden durch die Gefährdungen G 3.46 Fehlerhafte Konfiguration eines Lotus Domino Servers und G 3.113 Fehlerhafte Konfiguration eines Lotus Notes Clients oder eines Fremdclients mit Zugriff auf Lotus Domino beschrieben.

Es ist jedoch möglich, dass auch bei richtiger Konfiguration aufgrund von Schwächen der genutzten Skriptsprachen oder der Software (siehe G 4.22 Software-Schwachstellen oder -Fehler ) ein Missbrauch aktiver Inhalte erfolgt. Gleichfalls ist möglich, dass eine kaskadierende Ausführung von Agenten durch nicht ausreichend modellierte Abhängigkeiten aktiver Inhalte zu Problemen führt, ohne dass direkt eine fehlerhafte Konfiguration ursächlich ist.

Einen Sonderfall stellt die Gefährdung G 5.111 Missbrauch aktiver Inhalte in E-Mails dar, die die spezielle Situation beschreibt, in der schädliche aktive Inhalte über E-Mail eingebracht werden.

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK