Archive for: ‘Mai 2010’

New MacBook Pro: extend your battery life

18. Mai 2010, 09:05 Erstellt von Thomas Lang (288 clicks)

Maybe you’ve got a new MacBook Pro (mid 2010) and heard about the new feature of switching the GPU on the fly when needed. This new feature should save a lot of power from your battery. I’ve got a new MacBook Pro and was wondering, why the battery life is not …

Sicherheitslcke oder beabsichtigte Funktion?

13. Mai 2010, 08:00 Erstellt von Manfred Meise (27 clicks)

Sicherheitsbeauftragte sollten das nachfolgend beschriebene Systemverhalten von Lotus Domino zum Anlass nehmen, ihre Betriebsvorgaben zu berprfen, um im Bedarfsfall auch einzelnen Administratoren umgehend den Zugriff auf die Serverinfrastruktur entzie…

Sicherheitslücke oder beabsichtigte Funktion?

13. Mai 2010, 06:00 Erstellt von Manfred Meise (16 clicks)

Sicherheitsbeauftragte sollten das nachfolgend beschriebene Systemverhalten von Lotus Domino zum Anlass nehmen, ihre Betriebsvorgaben zu überprüfen, um im Bedarfsfall auch einzelnen Administratoren umgehend den Zugriff auf die Serverinfrastruktur entziehen zu können! „Bug“ oder „Works as designed“ – meine Einschätzung ist klar: Es ist ein Fehler wenn Benutzer auf Server zugreifen können, obwohl sie in der „Deny-Access-Liste“ verzeichnet sind.

Ausgangssituation:

Im Rahmen eines Security Audits bei einem unserer Kunden haben wir Empfehlungen zur Erhöhung der Server- und Betriebssicherheit von Domino Servern durch standardisierte Einstellungen der Serverdokumente ausgesprochen, Hierzu zählten u.A.:

  • Einrichtung einer speziellen „Admin“ OU zur Registrierung von User.IDs für Administratoren: Benutzer  erhalten dann automatisch Zugriff auf bestimmte Server und Serverressourcen, ohne die Pflege von Gruppen, unter Verwendung von wildcard Notationen „*/ADMIN/MMI“
  • Verwendung der wildcard-Notation z.B. In Serverdokument (Sicherheitseinstellungen), damit so zertifizierte Benutzer Zugriffe stets entsprechende Berechtigungen auf dem Server erhalten. Durch diese Vorgehensweise kann verhindert werden, dass administrative Benutzer von Gruppenmitgliedschaften abhängig sind (die man verlieren könnte, wenn ein Administrator-Kollege z.B. Aus Versehen das entsprechende Gruppendokument löscht).
  • Anwendung dieser Strategie u.A. Auch für das „Full Access Administration“ Feld im Serverdokument
    Image:Sicherheitslücke oder beabsichtigte Funktion?

Kaum das wir diese Strukturen bei diesem Kunden implementiert hatten, ergab es sich, dass einer der Administratoren das Unternehmen verlässt.

Löschung des ausscheidenden Administrators:

Im Rahmen der Löschung eines Benutzers (so auch der des Administrators (zertifiziert mit der „Admin“ OU) ist dieser u.A. in die „Deny-access-Liste“ aller Server eingetragen worden. Erstaunlicherweise hatte dieser (auch nachdem alle AdminP Aufträge abgearbeitet wurden und sein Benutzername in der „Deny-access-Liste“ eingetragen war), immer noch Zugriff auf alle Server.

Image:Sicherheitslücke oder beabsichtigte Funktion?

Image:Sicherheitslücke oder beabsichtigte Funktion?

Die nähere Analyse ergab, das der Domino-Server (auf Grund der wildcard-Notierung des Administrators im „Full Access“ Feld aller Server) den Eintrag in der „Deny-List“ ignoriert. Hätte man dort eine Gruppe verwendet oder gar den Benutzer explizit eingetragen, so hätte AdminP durch die Löschung dem Administrator die Berechtigung entzogen.

Erschreckenderweise kann ein so authentifizierter Administrator unbegrenzt auf Serverressourcen lediglich unter Verwendung eines Lotus Notes Clients zugreifen (anders als die Dokumentation aussagt: „Um Vollzugriff zu erlangen, muss ein Benutzer 1. im entsprechenden Feld „Vollzugriff“ des Serverdokumentes eingetragen sein, 2. einen Lotus Administrator Client verwenden, 3. den Vollzugriffsmodus über den entsprechenden Menüpunkt aktivieren“).

Die Stellungnahme der IBM auf einen entsprechenden PMR sagt aus, dass die Auswertung der Felder „Full-Access“ und „Deny-Access“ des Serverdokumentes in dieser Reihenfolge erfolgt. Aus praktischen Erwägungen heraus haben wir lediglich einen Verbesserungsvorschlag einreichen können, dessen Umsetzung fraglich ist und dauern kann. Für die Praxis hat das jedoch unmittelbare Auswirkungen, wenn wir nicht kurzfristig mit einem HotFix rechnen können.

Dringende Empfehlung für aktuelle Domino Konfigurationen:
1.        Die Verwendung von separaten OUs für Administratoren und wildcard Notationen hat weiterhin eine Reihe von Vorteilen, jedoch einen entscheidenden Nachteil
2.        Um derart registrierte Administratoren ähnlich schnell vom Serverzugriffen auszuschließen wie normale Benutzer dürfen diese nicht über wildcard-Notation im „Full-Access“ des Servers eingetragen sein. Dort sind stets entweder explizit einzelne Namen einzutragen (mit dem Nachteil das diese Informationen vom Server gecached werden) oder als Mitglied einer dort verzeichneten Gruppe (mit dem Nachteil des Verlustes von Vollzugriffen, wenn jemand aus Versehen die Gruppe löscht)

In jedem Fall heißt das, Vor- und Nachteile abzuwägen und die Serverkonfigurationen überprüfen/ändern, bis IBM in einem dem kommenden Release zuerst die „Deny-Access-Liste“ eines Servers auswertet, bevor man durch Prüfung weitere Servereinstellungen entscheidet, was man denn konkret auf diesem Server tun darf.

SicherheitslĂĽcke oder beabsichtigte Funktion?

13. Mai 2010, 06:00 Erstellt von Manfred Meise (10 clicks)

Sicherheitsbeauftragte sollten das nachfolgend beschriebene Systemverhalten von Lotus Domino zum Anlass nehmen, ihre Betriebsvorgaben zu ĂĽberprĂĽfen, um im Bedarfsfall auch einzelnen Administratoren umgehend den Zugriff auf die Serverinfrastruktur entziehen zu können! „Bug“ oder „Works as designed“ – meine Einschätzung ist klar: Es ist ein Fehler wenn Benutzer auf Server zugreifen können, obwohl sie in der „Deny-Access-Liste“ verzeichnet sind.

Ausgangssituation:

Im Rahmen eines Security Audits bei einem unserer Kunden haben wir Empfehlungen zur Erhöhung der Server- und Betriebssicherheit von Domino Servern durch standardisierte Einstellungen der Serverdokumente ausgesprochen, Hierzu zählten u.A.:

  • Einrichtung einer speziellen „Admin“ OU zur Registrierung von User.IDs fĂĽr Administratoren: Benutzer  erhalten dann automatisch Zugriff auf bestimmte Server und Serverressourcen, ohne die Pflege von Gruppen, unter Verwendung von wildcard Notationen „*/ADMIN/MMI“
  • Verwendung der wildcard-Notation z.B. In Serverdokument (Sicherheitseinstellungen), damit so zertifizierte Benutzer Zugriffe stets entsprechende Berechtigungen auf dem Server erhalten. Durch diese Vorgehensweise kann verhindert werden, dass administrative Benutzer von Gruppenmitgliedschaften abhängig sind (die man verlieren könnte, wenn ein Administrator-Kollege z.B. Aus Versehen das entsprechende Gruppendokument löscht).
  • Anwendung dieser Strategie u.A. Auch fĂĽr das „Full Access Administration“ Feld im Serverdokument
    Image:SicherheitslĂĽcke oder beabsichtigte Funktion?

Kaum das wir diese Strukturen bei diesem Kunden implementiert hatten, ergab es sich, dass einer der Administratoren das Unternehmen verlässt.

Löschung des ausscheidenden Administrators:

Im Rahmen der Löschung eines Benutzers (so auch der des Administrators (zertifiziert mit der „Admin“ OU) ist dieser u.A. in die „Deny-access-Liste“ aller Server eingetragen worden. Erstaunlicherweise hatte dieser (auch nachdem alle AdminP Aufträge abgearbeitet wurden und sein Benutzername in der „Deny-access-Liste“ eingetragen war), immer noch Zugriff auf alle Server.

Image:SicherheitslĂĽcke oder beabsichtigte Funktion?

Image:SicherheitslĂĽcke oder beabsichtigte Funktion?

Die nähere Analyse ergab, das der Domino-Server (auf Grund der wildcard-Notierung des Administrators im „Full Access“ Feld aller Server) den Eintrag in der „Deny-List“ ignoriert. Hätte man dort eine Gruppe verwendet oder gar den Benutzer explizit eingetragen, so hätte AdminP durch die Löschung dem Administrator die Berechtigung entzogen.

Erschreckenderweise kann ein so authentifizierter Administrator unbegrenzt auf Serverressourcen lediglich unter Verwendung eines Lotus Notes Clients zugreifen (anders als die Dokumentation aussagt: „Um Vollzugriff zu erlangen, muss ein Benutzer 1. im entsprechenden Feld „Vollzugriff“ des Serverdokumentes eingetragen sein, 2. einen Lotus Administrator Client verwenden, 3. den Vollzugriffsmodus ĂĽber den entsprechenden MenĂĽpunkt aktivieren“).

Die Stellungnahme der IBM auf einen entsprechenden PMR sagt aus, dass die Auswertung der Felder „Full-Access“ und „Deny-Access“ des Serverdokumentes in dieser Reihenfolge erfolgt. Aus praktischen Erwägungen heraus haben wir lediglich einen Verbesserungsvorschlag einreichen können, dessen Umsetzung fraglich ist und dauern kann. FĂĽr die Praxis hat das jedoch unmittelbare Auswirkungen, wenn wir nicht kurzfristig mit einem HotFix rechnen können.

Dringende Empfehlung fĂĽr aktuelle Domino Konfigurationen:
1.        Die Verwendung von separaten OUs fĂĽr Administratoren und wildcard Notationen hat weiterhin eine Reihe von Vorteilen, jedoch einen entscheidenden Nachteil
2.        Um derart registrierte Administratoren ähnlich schnell vom Serverzugriffen auszuschlieĂźen wie normale Benutzer dĂĽrfen diese nicht ĂĽber wildcard-Notation im „Full-Access“ des Servers eingetragen sein. Dort sind stets entweder explizit einzelne Namen einzutragen (mit dem Nachteil das diese Informationen vom Server gecached werden) oder als Mitglied einer dort verzeichneten Gruppe (mit dem Nachteil des Verlustes von Vollzugriffen, wenn jemand aus Versehen die Gruppe löscht)

In jedem Fall heiĂźt das, Vor- und Nachteile abzuwägen und die Serverkonfigurationen ĂĽberprĂĽfen/ändern, bis IBM in einem dem kommenden Release zuerst die „Deny-Access-Liste“ eines Servers auswertet, bevor man durch PrĂĽfung weitere Servereinstellungen entscheidet, was man denn konkret auf diesem Server tun darf.

Sicherheitslücke oder beabsichtigte Funktion?

13. Mai 2010, 06:00 Erstellt von Manfred Meise (12 clicks)

Sicherheitsbeauftragte sollten das nachfolgend beschriebene Systemverhalten von Lotus Domino zum Anlass nehmen, ihre Betriebsvorgaben zu überprüfen, um im Bedarfsfall auch einzelnen Administratoren umgehend den Zugriff auf die Serverinfrastruktur entziehen zu können! „Bug“ oder „Works as designed“ – meine Einschätzung ist klar: Es ist ein Fehler wenn Benutzer auf Server zugreifen können, obwohl sie in der „Deny-Access-Liste“ verzeichnet sind.

Ausgangssituation:

Im Rahmen eines Security Audits bei einem unserer Kunden haben wir Empfehlungen zur Erhöhung der Server- und Betriebssicherheit von Domino Servern durch standardisierte Einstellungen der Serverdokumente ausgesprochen, Hierzu zählten u.A.:

  • Einrichtung einer speziellen „Admin“ OU zur Registrierung von User.IDs für Administratoren: Benutzer  erhalten dann automatisch Zugriff auf bestimmte Server und Serverressourcen, ohne die Pflege von Gruppen, unter Verwendung von wildcard Notationen „*/ADMIN/MMI“
  • Verwendung der wildcard-Notation z.B. In Serverdokument (Sicherheitseinstellungen), damit so zertifizierte Benutzer Zugriffe stets entsprechende Berechtigungen auf dem Server erhalten. Durch diese Vorgehensweise kann verhindert werden, dass administrative Benutzer von Gruppenmitgliedschaften abhängig sind (die man verlieren könnte, wenn ein Administrator-Kollege z.B. Aus Versehen das entsprechende Gruppendokument löscht).
  • Anwendung dieser Strategie u.A. Auch für das „Full Access Administration“ Feld im Serverdokument
    Image:Sicherheitslücke oder beabsichtigte Funktion?

Kaum das wir diese Strukturen bei diesem Kunden implementiert hatten, ergab es sich, dass einer der Administratoren das Unternehmen verlässt.

Löschung des ausscheidenden Administrators:

Im Rahmen der Löschung eines Benutzers (so auch der des Administrators (zertifiziert mit der „Admin“ OU) ist dieser u.A. in die „Deny-access-Liste“ aller Server eingetragen worden. Erstaunlicherweise hatte dieser (auch nachdem alle AdminP Aufträge abgearbeitet wurden und sein Benutzername in der „Deny-access-Liste“ eingetragen war), immer noch Zugriff auf alle Server.

Image:Sicherheitslücke oder beabsichtigte Funktion?

Image:Sicherheitslücke oder beabsichtigte Funktion?

Die nähere Analyse ergab, das der Domino-Server (auf Grund der wildcard-Notierung des Administrators im „Full Access“ Feld aller Server) den Eintrag in der „Deny-List“ ignoriert. Hätte man dort eine Gruppe verwendet oder gar den Benutzer explizit eingetragen, so hätte AdminP durch die Löschung dem Administrator die Berechtigung entzogen.

Erschreckenderweise kann ein so authentifizierter Administrator unbegrenzt auf Serverressourcen lediglich unter Verwendung eines Lotus Notes Clients zugreifen (anders als die Dokumentation aussagt: „Um Vollzugriff zu erlangen, muss ein Benutzer 1. im entsprechenden Feld „Vollzugriff“ des Serverdokumentes eingetragen sein, 2. einen Lotus Administrator Client verwenden, 3. den Vollzugriffsmodus über den entsprechenden Menüpunkt aktivieren“).

Die Stellungnahme der IBM auf einen entsprechenden PMR sagt aus, dass die Auswertung der Felder „Full-Access“ und „Deny-Access“ des Serverdokumentes in dieser Reihenfolge erfolgt. Aus praktischen Erwägungen heraus haben wir lediglich einen Verbesserungsvorschlag einreichen können, dessen Umsetzung fraglich ist und dauern kann. Für die Praxis hat das jedoch unmittelbare Auswirkungen, wenn wir nicht kurzfristig mit einem HotFix rechnen können.

Dringende Empfehlung für aktuelle Domino Konfigurationen:
1.        Die Verwendung von separaten OUs für Administratoren und wildcard Notationen hat weiterhin eine Reihe von Vorteilen, jedoch einen entscheidenden Nachteil
2.        Um derart registrierte Administratoren ähnlich schnell vom Serverzugriffen auszuschließen wie normale Benutzer dürfen diese nicht über wildcard-Notation im „Full-Access“ des Servers eingetragen sein. Dort sind stets entweder explizit einzelne Namen einzutragen (mit dem Nachteil das diese Informationen vom Server gecached werden) oder als Mitglied einer dort verzeichneten Gruppe (mit dem Nachteil des Verlustes von Vollzugriffen, wenn jemand aus Versehen die Gruppe löscht)

In jedem Fall heißt das, Vor- und Nachteile abzuwägen und die Serverkonfigurationen überprüfen/ändern, bis IBM in einem dem kommenden Release zuerst die „Deny-Access-Liste“ eines Servers auswertet, bevor man durch Prüfung weitere Servereinstellungen entscheidet, was man denn konkret auf diesem Server tun darf.

Was macht denn das Feld "$RespondedTo" und woher stammt es?

12. Mai 2010, 08:15 Erstellt von Manfred Meise (26 clicks)

Zur Untersttzung spezifischer Mailfunktionen steuern Datenbankeigenschaften die Generierung von Feldern im Mailkontext. Diese Datenbankeigenschaften knnen jedoch in gemeinsam genutzten Datenbanken zu unerwnschten Nebeneffekten fhren. Um um in Mailfi…

Was macht denn das Feld „$RespondedTo“ und woher stammt es?

12. Mai 2010, 06:15 Erstellt von Manfred Meise (13 clicks)

Zur Unterstützung spezifischer Mailfunktionen steuern Datenbankeigenschaften die Generierung von Feldern im Mailkontext. Diese Datenbankeigenschaften können jedoch in gemeinsam genutzten Datenbanken zu unerwünschten Nebeneffekten führen.

Um um in Mailfiles Spaltensymbole anzeigen zu können, welches Dokumente bereits beantwortet wurden, ist folgende Datenbankeigenschaft eingeführt worden
Image:Was macht denn das Feld "RespondedTo" und woher stammt es?
welche in Dokumente, die mit einer Antwortmaske beantwortet wurden das Feld „RespondedTo“ setzt, wenn das Anwortdokument durch den Mailer des Lotus Notes Clients versendet wird (z.B. @Mailsend, MaiOptions-Feld o.ä.). Ähnliches geschieht, wenn Dokumente weitergeleitet werden (in diesem Fall enthält das Feld den Wert „2“ statt „1“).

In gemeinsam genutzten Datenbanken sollte dieses Attribut nur mit Vorsicht verwendet werden, da diese Datenbankeigenschaft (in Verbindung mit Mailfunktionen auf Masken) zu Replizier- und Speicherkonflikten führt, wenn verschiedene Benutzer Antworten auf das gleiche Dokument erstellen.

Was macht denn das Feld „$RespondedTo“ und woher stammt es?

12. Mai 2010, 06:15 Erstellt von Manfred Meise (16 clicks)

Zur Unterstützung spezifischer Mailfunktionen steuern Datenbankeigenschaften die Generierung von Feldern im Mailkontext. Diese Datenbankeigenschaften können jedoch in gemeinsam genutzten Datenbanken zu unerwünschten Nebeneffekten führen.

Um um in Mailfiles Spaltensymbole anzeigen zu können, welches Dokumente bereits beantwortet wurden, ist folgende Datenbankeigenschaft eingeführt worden
Image:Was macht denn das Feld "RespondedTo" und woher stammt es?
welche in Dokumente, die mit einer Antwortmaske beantwortet wurden das Feld „RespondedTo“ setzt, wenn das Anwortdokument durch den Mailer des Lotus Notes Clients versendet wird (z.B. @Mailsend, MaiOptions-Feld o.ä.). Ähnliches geschieht, wenn Dokumente weitergeleitet werden (in diesem Fall enthält das Feld den Wert „2“ statt „1“).

In gemeinsam genutzten Datenbanken sollte dieses Attribut nur mit Vorsicht verwendet werden, da diese Datenbankeigenschaft (in Verbindung mit Mailfunktionen auf Masken) zu Replizier- und Speicherkonflikten führt, wenn verschiedene Benutzer Antworten auf das gleiche Dokument erstellen.

Was macht denn das Feld „$RespondedTo“ und woher stammt es?

12. Mai 2010, 06:15 Erstellt von Manfred Meise (10 clicks)

Zur Unterstützung spezifischer Mailfunktionen steuern Datenbankeigenschaften die Generierung von Feldern im Mailkontext. Diese Datenbankeigenschaften können jedoch in gemeinsam genutzten Datenbanken zu unerwünschten Nebeneffekten führen.

Um um in Mailfiles Spaltensymbole anzeigen zu können, welches Dokumente bereits beantwortet wurden, ist folgende Datenbankeigenschaft eingeführt worden
Image:Was macht denn das Feld "RespondedTo" und woher stammt es?
welche in Dokumente, die mit einer Antwortmaske beantwortet wurden das Feld „RespondedTo“ setzt, wenn das Anwortdokument durch den Mailer des Lotus Notes Clients versendet wird (z.B. @Mailsend, MaiOptions-Feld o.ä.). Ă„hnliches geschieht, wenn Dokumente weitergeleitet werden (in diesem Fall enthält das Feld den Wert „2“ statt „1“).

In gemeinsam genutzten Datenbanken sollte dieses Attribut nur mit Vorsicht verwendet werden, da diese Datenbankeigenschaft (in Verbindung mit Mailfunktionen auf Masken) zu Replizier- und Speicherkonflikten fĂĽhrt, wenn verschiedene Benutzer Antworten auf das gleiche Dokument erstellen.

Yo – RIM listen up !

6. Mai 2010, 10:01 Erstellt von Heiko Voigt (289 clicks)

Hi, this email reached me several days ago (in german) , advertising the free-of-charge BES Enterprise Express Server. Der erste KOSTENFREIE* BlackBerry® Enterprise Server Express Genieße …

For real men

4. Mai 2010, 07:58 Erstellt von Thomas Lang (300 clicks)

What's hot