Webadmin, l'IBM Domino Web Administrator è stato deprecato in seguito a vulnerabilità cross-site scripting e cross-site request forgery illustrate in questo bollettino di sicurezza di IBM.
Il suggerimento di IBM è di non utilizzare il webadmin ed usare invece il client di amministrazione che è immune alle vulnerabilità di cui sopra.
Le vulnerabilità riguardano sia installazioni domino r8.5.x che r9.0.x e non sono previsti fix.
Può quindi essere una buona idea chiudere la LCA sul webadmin.nsf sui server.
Deprecato webadmin.nsf
- 11/13/2013
- 4 commenti
4 Commenti:
Mi ricordo di aver letto da qualche parte anni fa che una pratica di sicurezza consigliava di cancellare i db webadmin.nsf e webadmin.ntf, proprio per problemi di vulnerabilità, da allora l'ho sempre fatto, non utilizzando webadmin.nsf. In caso di utilizzo però lo si potrebbe proteggere cambiandogli nome oppure inserendo dei redirect ad-hoc per aumentare un po' la sicurezza.
My two cents
When I found the bulletin and blogged my thoughts
{ Link }
@Giorgetto: non sei il solo a pensarla così, ecco Darren Duke: { Link }
Complimenti IBM,
alla faccia del mobile first, non dico aggiornare il client amministrativo alle tecnologie moderne, xpages? mobile?, ma ora nemmeno più il client web si potrà usare?
Ma è serio lavorare cosi? Causa baco, si azzoppa il prodotto?
E se la prossima volta si trova un baco sui mail-in database, le rubriche secondarie o il protocollo mime? Dichiara deprecati anche quelli?.