Interim Fixes für IBM Domino zur Verhinderung von POODLE-Angriffen

25. November 2014 Posted by Enno Schwanke

IBM Domino
Vor einigen Wochen gab IBM bekannt, dass Domino-Server durch Padding Oracle On Downgraded Legacy Encryption (POODLE)-Attacken verwundbar sind. Hierbei können verschlüsselte Verbindungen zwischen einem Web-Browser und einem Domino-Web-Server, die auf dem veralteten SSL v3 basieren, auf den Stationen dazwischen angegriffen und entschlüsselt werden - ein sogenannter Man-in-the-Middle-Angriff ist möglich.

Daraufhin wird in vielen aktuellen Browser-Versionen SSL v3 deaktiviert, so dass es nicht mehr für HTTPS-Verbindungen genutzt wird. Diese Browser nutzten dann Transport Layer Security (TLS) ab der Version 1.0 (= SSL v3.1), um verschlüsselte Verbindungen zu Web-Servern aufzubauen.

Das Problem: Der Domino-HTTP-Task, also der Web-Server-Teil von IBM Domino, kann TLS noch nicht.

Die Lösung: IBM hat für alle aktuellen, sich in Wartung befindlichen Domino-Versionen sogenannte Interim Fixes, also Sofort-Updates, heraus gebracht, die dem Domino TLS beibringen.  

In der Technote 1687167: How is IBM Domino impacted by the POODLE attack? sind mehr Details ausgeführt und die verfügbaren Interims Fixes aufgelistet:
9.0.1 Fix Pack 2 Interim Fix 1 http://www.ibm.com/support/docview.wss?uid=swg21657963
9.0 Interim Fix 6 http://www.ibm.com/support/docview.wss?uid=swg21653364
8.5.3 Fix Pack 6 Interim Fix 4 http://www.ibm.com/support/docview.wss?uid=swg21663874
8.5.2 Fix Pack 4 Interim Fix 2 http://www.ibm.com/support/docview.wss?uid=swg21589583
8.5.1 Fix Pack 5 Interim Fix 2 http://www.ibm.com/support/docview.wss?uid=swg21595265


Damit sich Benutzer auch mit den neuesten Browser-Versionen mit dem Domino-Web-Server verschlüsselt verbinden und HTTPS nutzen können, muss der entsprechende Interims Fix kurzfristig eingespielt werden.

Das "Rest-Problem" besteht nun noch darin, dass der Domino-Server weiterhin SSL v3 für HTTPS-Verbindungen anbietet. Es gibt bislang nur einen undokumentierten, nicht offiziell unterstützten (unsupported) Weg, SSL v3 auf dem Domino-Server zu deaktivieren (sprechen Sie uns bei Bedarf an).

Die offizielle Lösung ist, einen IBM HTTP Server (IHS) vor den Domino-Server als sogenannten Reverse Proxy zu betreiben. Bei diesem kann nicht nur SSL v3 deaktiviert werden, sondern er "spricht" auch die aktuelleren Version 1.1 und 1.2 von TLS.
Die Technote 1612316: Is it possible to run IBM HTTP Server (IHS) on the same computer as a Domino server? stehen mehr Details dazu.

Kurzfassung: Ab Domino 9 kann der IHS sogar auf der gleichen Maschine laufen, wie der Domino-Server. Es gibt aber auch Kunden, die den IHS extra auf einer anderen Maschine oder VM in der DMZ installieren und den Domino-Web-Server im internen Netzwerk, um diesen noch besser abzuschirmen und zu schützen.
Read full article |Kommentare deaktiviert für Interim Fixes für IBM Domino zur Verhinderung von POODLE-Angriffen
Tags: ,
Categories: Allgemein