Unschöner unsicherer Patzer bei Lotus Notes von IBM

Wie ich gerade gelesen habe, hat sich Big Blue etwas richtig unschönes erlaubt. Wer den Lotus Notes-Client für Linux von Ibm installiert holt sich ein nettes Sicherheitsloch in sein sicheres System.

Der Befehl „tar“ entpackt Archive und ignoriert dabei die Umask der Umgebung, wenn er von Root aufgerufen wird. Das sorgt dafür, dass alle Dateirechte genauso gesetzt werden, wie sie im Archiv enthalten sind.
Beim Start der Installation setzt zudem das Wrapper-Skript „setup.sh“ nochmals die Rechte des Installations-Skriptes auf 777, womit etwaige à„nderungen sicherheitsbewusster Admins wieder zunichte gemacht werden:

#!/bin/sh
umask 022
chmod 777 "${0%setup.sh}/installdata"
"${0%setup.sh}/installdata" "$@" 

So etwas hatte ich nun von IBM nicht erwartet.