Eine schlechte Nachricht vorab: Der Blogartikel hinsichtlich der Vorstellungsreihe des ITWU-Teams, der aus der Sicht unseres neuen Teammitglieds Marina verfasst wird, muss leider noch eine Woche warten. Der Grund dafür ist aber umso erfreulicher; es gibt nämlich Fixes für die IBM iNotes Cross-Site-Scripting Vulnerability (kann unter dem Code SPR #EPORALRQUE getrackt werden) und für die Schwachstellen der IBM SDK Java Technology Edition, die auf IBM Notes läuft.
1. Fix für IBM iNotes Cross-Site-Scripting Vulnerability (CVE-2017-1325)
IBM iNotes war zeitweise angreifbar für sogenanntes Cross-Site-Scripting. Das Cross-Site-Scripting, oder auf Deutsch auch Webseitenübergreifendes Skripting, bezeichnet das Ausnutzen einer Computersicherheitslücke in Webanwendungen. Informationen, die nicht vertrauenswürdig sind, werden in einen anderen Kontext eingefügt, der als vertrauenswürdig gilt. Somit werden diese Informationen nun ebenfalls als vertrauenswürdig eingestuft. Im schlimmsten Fall kann nun ein Angriff aus dem vertrauenswürdigen Kontext mit den nicht vertrauenswürdigen Informationen gestartet werden.
Das Fix für dieses Problem ist in den IBM iNotes Versionen 9.0.1 Fix Pack 8 Interim Fix 2 und 8.5.3 Fix Pack 6 Interim Fix 4 enthalten. Solltet ihr also eine 9.0 oder 9.0.1 Version nutzen, die älter ist als das 9.0.1 Fix Pack 8 Interim Fix 2 oder eine 8.5, 8.5.1, 8.5.2, Version älter als das 8.5.3 Fix Pack 6 Interim Fix 4, ist es ratsam, diese Versionen auf den neusten Stand upzudaten. Kunden, die eine noch ältere Version als die 8.5.x Version nutzen, können sich an den IBM Support wenden. Es besteht die Möglichkeit, einen Hotfix, also eine Aktualisierung, der Software vorzunehmen.
Weitere Informationen zum Fix für IBM iNotes findet ihr hier.
2. Schwachstellen in der IBM SDK Java Technology Edition bei IBM Notes
Die IBM® SDK Java™ Technology Edition Version 6 SR16FP35 weist leider mehrere Schwachstellen auf. Welche das alle sind, könnt ihr hier in Erfahrung bringen. Tracken könnt ihr dieses Problem auch unter SPR HYUEAHNPDZ.
Betroffen sind dabei alle 9.0.x, 9.0, 8.5.x und 8.5 Produkte und Versionen, die älter sind als der Notes Standard Client 9.0.1 FP8 und der Notes Standard Client 8.5.3 FP6 IF14.
Fix Patches für JVM 1.8 und JVM 1.6 für Notes 9.0.1FP8 sind bereits erhältlich. Den Link zum Download für das Standalone Java Patch für Notes & Domino 9.0.1 Fix Pack 7 findet ihr hier. Zu den Downloadlinks für das Standalone Java Patch für Notes & Domino 8.5.3 Fix Packs 5 und 6 kommt ihr hier.
Kunden, die andere IBM Versionen nutzen, können sich an den IBM Support wenden und einen Service Request für einen Hotfix beantragen. Als Referenz solltet ihr dabei den Trackingcode SPR HYUEAHNPDZ angeben.
Wir hoffen, dass wir euch weiterhelfen konnten und eure Probleme schnellstmöglich behoben werden können. Unser Rat ist, dass ihr eure IBM iNotes oder IBM Notes Version am besten auf den neusten Stand updatet, sofern dies möglich ist. Natürlich unterstützen wir euch gerne dabei!
Bei Fragen könnt ihr euch wie immer an uns wenden. Ruft uns einfach an unter 05251 288160 oder schreibt uns eine E-Mail an info@itwu.de.