Und wieder wird die Welt ein bißchen sicherer - zumindest wenn wir den
ersten Interims Fix für den IBM Domino-Server mit der Version 9.0.1 und
Fix Pack 5 einspielen.
Die
4 Verbesserungen in dem Interims Fix drehen sich alle um TLS und der wichtigste
stopft eine Lücke bei TLS 1.2 in Bezug auf den MD5-Signatur-Algorithmus,
die auf den Namen "SLOTH" getauft wurde:
"The TLS protocol could allow weaker
than expected security caused by a collision attack when using the MD5
hash function for signing a ServerKeyExchange message during a TLS handshake.
An attacker could exploit this vulnerability using man-in-the-middle techniques
to impersonate a TLS server and obtain credentials."
Quellen:
Security
Bulletin: Vulnerability in MD5 Signature and Hash Algorithm affects IBM
Domino (CVE-2015-7575)
Interim
Fixes & JVM patches for 9.0.1.x versions of IBM Notes, Domino, iNotes
& Notes Browser Plug-in
Downloads
des 9.0.1 FP 5 IF 1
Posts Tagged: ‘IBM Domino’
IBM Connections Integration wird zum Kinderspiel
Social Software Adoption und die Integration externer Daten in Social Software sind Herausforderungen, der sich immer mehr Unternehmen stellen müssen. Mit dem hs.Crawler haben wir eine Lösung für viele dieser Herausforderungen geschaffen, die gerade im neuen Gewand in der Version 1.5 freigegeben wurde. Kurz zur Erinnerung: Was ist der hs.Crawler? Der hs.Crawler erlaubt die Definition verschiedener Datenquellen […]
Interims Fix 11 für IBM Domino 8.5.3 Fix Pack 6, sowie Interims Fix 7 für IBM Notes 8.5.3 Fix Pack 6 erschienen
Beide Interims Fixes beheben eine kritische Sicherheitslücke, welche Ende September letzten Jahres in der CVE Datenbank von mitgre.org eingetragen wurde. Aufmerksam wurde man auf das Prinzip dieser Sicherheitslücke, durch eine Präsentation von Gabriel Lawrence und Chris Frohoff.
Konkret ist von CVE-2015-7450 die Rede, eine Sicherheitslücke, welche dem Angreifer ermöglicht beliebige Befehle auszuführen.
Das Problem hierbei liegt hierbei nicht direkt in der Bibliothek Apache Commons Collection, wie es häufig behaupted wird, sondern allgemein in "..Anwendungen, welche die Java-Deserialisierung auf unsichere Art und Weise benutzen" (Benedikt Ritter).
Im Blog von Benedikt Ritter finden Sie mehr Informationen zur Sicherheitslücke.
Die Apache Software Foundation hat zu dem Thema bereits ein Statement abgegeben.
Quellen:
http://www-01.ibm.com/support/docview.wss?uid=swg21971751
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7450
http://www-01.ibm.com/support/docview.wss?uid=swg21663874
http://www-933.ibm.com/support/fixcentral/
https://blog.codecentric.de/2015/11/kommentar-zur-sogenannten-sicherheitsluecke-in-apache-commons-collections/
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread
http://frohoff.github.io/appseccali-marshalling-pickles/
Download Interims Fix 11 für IBM Domino 8.5.3 Fix Pack 6
Download Interims Fix 7 für IBM Notes 8.5.3 Fix Pack 6
Ein heuristischer Sicherheitsansatz mit Hilfe von Domino Statistiken
Der Begriff "Heuristische Analyse" wird im Zusammenhang mit Anti-Malware-Software ins Spiel gebracht und soll beschreiben, dass die Software nicht nur nach bestimmten Signaturen bzw. Hashes prüft, sondern auch das "Verhalten" einer Software bewertet, um herauszufinden, ob diese schädlich sein könnte. Der Grundgedanke lässt sich sinnvollerweise auch auf andere Sicherheitsfelder bzw. IT-Sicherheit allgemein ausweiten. Die Idee ist, Abweichungen von "normalem" Verhalten zu identifizieren bzw. diese Abweichungen in einem größeren Kontext miteinander in Verbindung zu setzen, um so Hacks oder den Befall durch Schadsoftware identifizieren zu können.
Ein Beispiel aus dem wahren Leben der jüngeren Vergangenheit soll erläutern, was ich meine:
Ein Kunde ruft an und beschreibt, dass einer seiner Nutzer seltsame Zustellungsfehler-Nachrichten bekäme, obwohl der die entsprechenden Adressen nicht adressiert habe. Ein kurzer Blick auf seinen Server zeigt, dass der Domino-Server, der im Internet steht, zu einem Spam-Relay umfunktioniert worden war. Klassischer Fehler, denkt man sich; aber nein, der Server ist so eingestellt, dass er nur authentifizierten Nutzern, das relaying erlaubt. Ein genauerer Blick offenbart, dass es einen Account gibt, mit dessen Autorisierung von wechselnden asiatischen IP-Adressen SMTP-Verbindungen zum Versenden von E-Mails aufgebaut wurden. Der fragliche Account ist offenbar gehackt. Die Ursache ist schnell bereinigt und die Folgen behoben.
Dieses Beispiel soll vor allen Dingen zeigen, dass auch "legales" Verhalten schädlich sein kann. Es wurden gültige Credentials genutzt, freigeschaltete Ports verwendet, keinerlei Protokollfehler missbraucht, keine Malware installiert... Firewalls und Anti-Virensoftware hatten niemals eine Chance. Der Fehler wurde mehr oder weniger zufällig bekannt.
Doch das muss keineswegs so sein. Eine genauere Beobachtung der Vorgänge auf dem Server hätte zeigen können, dass es eine ungewöhnlich hohe Anzahl von versendeten E-Mails gab, die aufmerksam hätte machen können. Natürlich kann kein Mensch die entsprechenden Kennzahlen immer im Auge behalten. Vielmehr gibt es Werkzeuge, die das für einen Administrator übernehmen können. Die Beobachtung kann durch den Domino Statistic Collector übernommen werden.
Man erstellt einen Event-Generator zum Beispiel für den Wert: mail.delivered, so dass ein Alarm ausgelöst wird, wenn ein bestimmter Threshold überschritten wird. Wie hoch der Threshold ausfällt, ist natürlich individuell, denn nicht nur muss man die normalen Werte in der jeweiligen Umgebung kennen, sondern auch seine akzeptablen/unverdächtigen Maximalwerte kennen, damit man eine Abweichung überhaupt identifizieren kann, ohne allzu viele falsche Alarme zu erzeugen.
Für die Überwachung dieser Art ist keinerlei Zusatzsoftware erforderlich, es reicht die sorgfältige Konfiguration der Domino Statistiken und Events. Hierbei helfen wir gerne.
Die Sicherheit der Aussagen der Überwachung könnte erhöht werden, indem man einzelne Werte miteinander in Beziehung setzt, da ein Account, der außergewöhnlich viele E-Mails sendet, in großen Rauschen verloren gehen kann, aber wenn man gleichzeitig die Zahl der Authentifizierungsvorgänge und eventuell auch die Zahl der verschiedenen Ziel-Maildomänen in Relation setzte, hätte man schon einen ziemlich klaren Hinweis auf einen Sicherheitsvorfall. Für solche Anforderungen hat IBM auch einiges im Köcher. Auch dabei beraten wir gerne.
Browser stellen Support für Java Plug-ins ein – Notes-Webanwendungen gefährdet
Eine kürzlich veröffentlichte Technote von IBM, die unter der Nummer "LO86718" firmiert, macht darauf aufmerksam, dass Browser-Hersteller ihren Java-Support zurück fahren.
Google's Chrome hat bereits im September die Unterstützung für NPAPI-Plugins komplett eingestellt.
Mozilla hat gleiches im Firefox für Ende 2016 angekündigt.
Für Apple's Safari konnte ich kein Statement finden, aber es ist kein Geheimnis, dass sich Apple mit Plugins generell eher schwer tut - die Entscheidung, Flash nicht zu unterstützen, hat bekanntermaßen hohe Wellen geschlagen.
Microsoft's neuer Edge-Browser unterstützt die NPAPI-Alternative ActiveX nicht mehr.
Diese Ankündigung betrifft zwei Felder:
Klassische Notes-Webanwendungen benutzen NPAPI-Plugins für die Darstellung der Aktionleiste, der Outline und des Rich-Text-Editors, so dass diese mit dem Wegfall der Unterstützung nicht mehr funktionieren.
Anwendungen die von uns explizit webfähig entwickelt wurden, sind nicht betroffen. Aber jede Notes-Anwendung, die ohne weitere oder nur geringfügige Anpassungen auf einem Domino-Webserver geöffnet wird, benutzt diese Plugins zu Darstellung der besagten Elemente. Neben Anwendungen anderer Anbieter sind eventuell auch Anwendungen von IBM Standardschablonen betroffen.
Das Notes Browser Plug-in/ICAA beruht zu nicht unerheblichen Teilen auf der NPAPI, wodurch es in seiner aktuellen Version komplett hinfällig wird.
IBM hat das Problem zwar erkannt, aber noch keinen Plan verlautbaren lassen, wie und wann sie es zu lösen gedenken.
Der geneigte Leser mag jetzt für sich entscheiden, wie er die folgende Spekulation meinerseits bewertet:
Unabhängig von Ihrer Bewertung empfehlen wir, Ihre Strategie bzw. Ihre Anwendungen diesbezüglich auf den Prüfstand zu stellen, um sich von der Entwicklung zumindest nicht überraschen zu lassen.
Gerne unterstützen wir Sie ergebnisoffen bei der Evaluation und/oder ggf. bei Neuentwicklungen.
Quellen:
Technote zum Thema - leider nur mit IBM-ID zu öffnen
Google Support zur Einstellung der NPAPI Unterstützung
Mozilla zur Einstellung der NPAPI Unterstützung
Microsoft zur Einstellung von ActiveX
Vorstellung des Notes Browser Plug-ins auf der Connect 2013
Google's Chrome hat bereits im September die Unterstützung für NPAPI-Plugins komplett eingestellt.
Mozilla hat gleiches im Firefox für Ende 2016 angekündigt.
Microsoft's neuer Edge-Browser unterstützt die NPAPI-Alternative ActiveX nicht mehr.
Diese Ankündigung betrifft zwei Felder:
Klassische Notes-Webanwendungen benutzen NPAPI-Plugins für die Darstellung der Aktionleiste, der Outline und des Rich-Text-Editors, so dass diese mit dem Wegfall der Unterstützung nicht mehr funktionieren.
Anwendungen die von uns explizit webfähig entwickelt wurden, sind nicht betroffen. Aber jede Notes-Anwendung, die ohne weitere oder nur geringfügige Anpassungen auf einem Domino-Webserver geöffnet wird, benutzt diese Plugins zu Darstellung der besagten Elemente. Neben Anwendungen anderer Anbieter sind eventuell auch Anwendungen von IBM Standardschablonen betroffen.
Das Notes Browser Plug-in/ICAA beruht zu nicht unerheblichen Teilen auf der NPAPI, wodurch es in seiner aktuellen Version komplett hinfällig wird.
IBM hat das Problem zwar erkannt, aber noch keinen Plan verlautbaren lassen, wie und wann sie es zu lösen gedenken.
Der geneigte Leser mag jetzt für sich entscheiden, wie er die folgende Spekulation meinerseits bewertet:
Für ICAA bedeutet diese Information, dass es wohl von Grund auf neu entwickelt werden müsste. Da ICAA von IBM ohnehin nur als Lückenfüller bzw. Übergangslösung zwischen einer Fat-Client-Strategie und einer Browserstrategie gedacht war, fehlt mir die Phantasie für die Vorstellung, dass IBM nochmal von vorn beginnt. Auf der anderen Seite, ist das Thema schon lange genug bekannt. Wäre eine Entscheidung gefallen, hätte sie schon kommuniziert werden können. Wiederum verstreicht wertvolle Zeit während wohl immer noch darüber "nachgedacht" wird(?).
Im Verhältnis zu ICAA ist das Problem der Java Plug-ins für Notes-Web aus IBM Sicht ein kleines. Aber hier setzt IBM schon seit längerem auf XPages und andere Technologien. Das zusammen mit der Vermutung, dass die Plugins in neueren Entwicklungen vermutlich (hoffentlich?) nicht mehr eingesetzt werden, könnte dazu führen, dass IBM die Plug-ins einfach ersatzlos sterben lässt.
Unabhängig von Ihrer Bewertung empfehlen wir, Ihre Strategie bzw. Ihre Anwendungen diesbezüglich auf den Prüfstand zu stellen, um sich von der Entwicklung zumindest nicht überraschen zu lassen.
Gerne unterstützen wir Sie ergebnisoffen bei der Evaluation und/oder ggf. bei Neuentwicklungen.
Quellen:
Technote zum Thema - leider nur mit IBM-ID zu öffnen
Google Support zur Einstellung der NPAPI Unterstützung
Mozilla zur Einstellung der NPAPI Unterstützung
Microsoft zur Einstellung von ActiveX
Vorstellung des Notes Browser Plug-ins auf der Connect 2013
AdminCamp 2015: Weil sicher sicher sicher ist – Sicherheit in IBM Domino, Edition 2015
Hier die Präsentation zu meinem heutigen Vortrag in Track 3, Session 4: Weil sicher sicher sicher ist - Sicherheit in IBM Domino, Edition 2015:
Interims Fix 9 für IBM Domino 8.5.3 Fix Pack 6 erschienen
Kurz nach dem Fix Pack 4 in der 9.0.1er-Linie des IBM Domino-Server ist
auch dieser Interims Fix erschienen.
Es geht wieder um die Beseitigung von sicherheitsrelevanten Fehlern:
"IBM Domino Web Server contains two vulnerabilities. The Domino Web Server has an open redirect cross-site scripting vulnerability. In addition, the Domino Directory template, when available over HTTP, has a reflected cross-site scripting vulnerability."
Für den ersten Teil "reicht" es, wenn man auf einem 8.5.3er Domino-Server die Domino-Verzeichnis-Schablone (pubnames.ntf) eines Domino 9.0 oder 9.0.1 anwendet:
"The Domino Web Server reflected cross-site scripting vulnerability is tracked as SPR# KLYH8WBPRN and the fix is introduced in the Domino 9.0.0 version of the Domino Directory template (pubnames.ntf). IBM Domino 8.5.x servers running a Domino 9.0 or 9.0.1 pubnames.ntf is a supported configuration."
Um das zweite Thema kümmert sich der IF 9 (bzw. 9.0.1 FP4):
"The Domino Web Server open redirect cross-site scripting vulnerability is tracked as SPR# SJAR9DNGDA. The fix for this issue is introduced in both Domino 8.5.3 Fix Pack 6 Interim Fix 9 and Domino 9.0.1 Fix Pack 4. To enable the fix, on these or later releases, you must add the following new INI setting to the Domino server's notes.ini: DominoValidateRedirectTo=1."
Das mit der notes.ini-Einstellung ist also kritisch, damit der Fix sich überhaupt auswirkt!
Falls jemand wirklich noch einen "klassischen" Sametime-Meeting-Server nutzt (also von Sametime 9), braucht er noch einen weiteren Fix dafür:
"If you are running Sametime Classic Meeting Server, then to remediate the open redirect cross-site scripting vulnerability, you must also apply Sametime Classic Meeting Server hotfix "RPOH-9RPW4K". To obtain this hotfix, open a service request with IBM Support."
Quellen:
Security Bulletin: IBM Domino Web Server contains two vulnerabilities (CVE-2015-2014, CVE-2015-2015)
Interim Fixes & JVM patches for 8.5.3 Fix Pack 6 versions of IBM Notes, Domino & iNotes
Downloads des 8.5.3 FP 6 IF 9
Es geht wieder um die Beseitigung von sicherheitsrelevanten Fehlern:
"IBM Domino Web Server contains two vulnerabilities. The Domino Web Server has an open redirect cross-site scripting vulnerability. In addition, the Domino Directory template, when available over HTTP, has a reflected cross-site scripting vulnerability."
Für den ersten Teil "reicht" es, wenn man auf einem 8.5.3er Domino-Server die Domino-Verzeichnis-Schablone (pubnames.ntf) eines Domino 9.0 oder 9.0.1 anwendet:
"The Domino Web Server reflected cross-site scripting vulnerability is tracked as SPR# KLYH8WBPRN and the fix is introduced in the Domino 9.0.0 version of the Domino Directory template (pubnames.ntf). IBM Domino 8.5.x servers running a Domino 9.0 or 9.0.1 pubnames.ntf is a supported configuration."
Um das zweite Thema kümmert sich der IF 9 (bzw. 9.0.1 FP4):
"The Domino Web Server open redirect cross-site scripting vulnerability is tracked as SPR# SJAR9DNGDA. The fix for this issue is introduced in both Domino 8.5.3 Fix Pack 6 Interim Fix 9 and Domino 9.0.1 Fix Pack 4. To enable the fix, on these or later releases, you must add the following new INI setting to the Domino server's notes.ini: DominoValidateRedirectTo=1."
Das mit der notes.ini-Einstellung ist also kritisch, damit der Fix sich überhaupt auswirkt!
Falls jemand wirklich noch einen "klassischen" Sametime-Meeting-Server nutzt (also von Sametime 9), braucht er noch einen weiteren Fix dafür:
"If you are running Sametime Classic Meeting Server, then to remediate the open redirect cross-site scripting vulnerability, you must also apply Sametime Classic Meeting Server hotfix "RPOH-9RPW4K". To obtain this hotfix, open a service request with IBM Support."
Quellen:
Security Bulletin: IBM Domino Web Server contains two vulnerabilities (CVE-2015-2014, CVE-2015-2015)
Interim Fixes & JVM patches for 8.5.3 Fix Pack 6 versions of IBM Notes, Domino & iNotes
Downloads des 8.5.3 FP 6 IF 9
AdminCamp 2015: Wir sind dabei
Am Dienstag in Session 4 im Track 3 geht es um ein Steckenpferd von mir: Weil sicher sicher sicher ist, Edition 2015 - Sicherheit in IBM Domino
Sicherheit ist ein vielschichtiges Thema und IBM hat bei Notes und Domino sehr viel getan, so dass man damit eine äußerst sichere Lösung für Anwendungen, E-Mails und mehr implementieren kann. Man kann aber natürlich auch riesige Scheunentore aufmachen...
Damit dir das nicht passiert, erkläre ich dir in dieser Session die wichtigsten Grundlagen und wie man "Sicherheit" in den Server- und Konfigurationsdokumenten, in der notes.ini und an anderen Stellen praktisch und pragmatisch umsetzt.
Im letzten Jahr hat sich einiges in Punkto Sicherheit beim Domino-Server verändert, insbesondere beim HTTP-Task, SSL und TLS. POODLE (SSL und TLS), Bar Mitzvah (RC4), LogJam und andere Sicherheitslücken waren in aller Munde. Was solltest als Domino-Administrator jetzt unbedingt machen und wie kannst du das Plus an Sicherheit einfach nutzen?
Diese Session wendet sich an alle Domino-Administratoren, die ihr Domino-System sicher(er) machen möchten.
Interims Fix 1 für IBM Domino 9.0.1 Fix Pack 4 erschienen
Da haben die beim Fix Pack 4 doch glatt eine unbedeutende Datei vergessen:
nserver.exe (bzw. server) 
Natürlich läuft der Server normalerweise (sonst wäre das sofort aufgefallen), aber er kann beim Aufruf SECFreeSSOInternetSitesConfig abstürzen.
Diejenigen, die das Fix Pack 4 noch nicht herunter geladen haben, sollten noch ein oder zwei Tage warten, dann wird der Fix gleich im Fix Pack 4 integriert ("Slipstream"). Der FP wird nicht umbenannt werden, sollte aber ein Veröffentlichungsdatum 14. oder 15. Juli haben.
Quellen:
Potential server crash in SECFreeSSOInternetSitesConfig in Domino 9.0.1 Fix Pack 4 due to missing file
Interim Fixes for 9.0.1.x versions of IBM Notes, Domino, iNotes & Notes Browser Plug-in
Downloads des 9.0.1 FP 4 IF 1
Natürlich läuft der Server normalerweise (sonst wäre das sofort aufgefallen), aber er kann beim Aufruf SECFreeSSOInternetSitesConfig abstürzen.
Diejenigen, die das Fix Pack 4 noch nicht herunter geladen haben, sollten noch ein oder zwei Tage warten, dann wird der Fix gleich im Fix Pack 4 integriert ("Slipstream"). Der FP wird nicht umbenannt werden, sollte aber ein Veröffentlichungsdatum 14. oder 15. Juli haben.
Quellen:
Potential server crash in SECFreeSSOInternetSitesConfig in Domino 9.0.1 Fix Pack 4 due to missing file
Interim Fixes for 9.0.1.x versions of IBM Notes, Domino, iNotes & Notes Browser Plug-in
Downloads des 9.0.1 FP 4 IF 1
Quick-Tipp: Neues Feature “Dedicated View Thread” in IBM Domino 9.0.1 FP 3
Okay, das ist jetzt nichts für jeden, aber wer einige riesige Datenbanken auf seinem Server hat, kann seinen Benutzern jetzt vielleicht etwas weniger Wartezeiten bescheren.
Worum geht es? Wenn in einer Datenbank neue Dokumente erstellt oder vorhandene geändert werden, müssen die Ansichten-Indexe aktualisiert werden - das sind interne Datenstrukturen zu den Ansichten, die im Wesentlichen alle Informationen enthalten, die der Notes-Client dem Benutzer anzeigt.
Diese Aufgabe übernimmt der View Indexer ziemlich verlässlich und normalerweise im Hintergrund. Nur wenn er nicht "rechtzeitig" fertig wird, bekommt der Benutzer, der eine noch-nicht-aktuelle Ansicht in der Datenbank öffnet, die Mitteilung, dass die Ansicht gerade noch aktualisiert werden muss und er derweil ja woanders weiter arbeiten könne (sic!).
Ein Randproblem dabei ist, dass nur ein View Indexer gleichzeitig auf einer Datenbank arbeiten darf und er diese blockiert. Also auch wenn der Benutzer eine kleine Ansicht öffnet, während der View Indexer noch für einen anderen Benutzer eine große Ansicht aktualisiert, muss der Benutzer ziemlich lange warten.
Die Neuerung ist der "Dedicated View Thread".
Damit kann man besonders wichtige und große Ansichten in einer Datenbank markieren, die dann von einem eigenen Thread des View Indexers aktualisiert werden. Damit blockiert nicht mehr die ganze Datenbank, sondern Benutzer der "kleinen" Ansicht können schnell wieder weiter arbeiten.
Noch wichtiger aber ist, dass Benutzer auch die große Ansicht schnell öffnen können - und zwar im Zustand vor den letzten Änderungen, also dem Zustand, als der Ansichten-Index das letzte Mal aktualisiert wurde. Sie sehen dann zwar nicht die allerneuesten Informationen (aus den letzen x Sekunden), können dafür aber sofort und ohne zu warten weiter arbeiten.
Jeder Administrator bzw. Datenbankverantwortlich muss natürlich betrachten, ob das für die jeweilige Datenbank möglich ist oder immer und auf jeden Fall die aktuellsten Informationen dargestellt werden müssen.
Das wichtigste "Bekannte Problem" ist, dass bis zur Installation des Fix Pack 4 sich die Funktion nicht mehr dauerhaft deaktivieren lässt.
Nach meiner Beobachtung wird das übrigens im "$Index"-Item der View gespeichert.
Quellen:
What is the "Dedicated View Thread" feature in IBM Domino?
Known issues with the "Dedicated View Thread" feature in IBM Domino
Mit Sicherheit in den Sommerurlaub
. Aber wer übernimmt dann die Aufgaben?
Damit auch Sie beruhigt in den Sommerurlaub gehen können, springen wir für Sie ein und zwar soweit wie Sie mögen!
Sie haben die Möglichkeit von uns in unterschiedlichster Form Unterstützung zu erhalten. Sie oder Ihre Kollegen können z.B. jederzeit unsere Technische Hotline erreichen: 04307-900-403. Dadurch gelangen Sie direkt zu unserem Experten-Team. Für diese Zeit erweitert sich Ihre Abteilung virtuell und effizient um das assono-Team.
Ihre Supportanfragen werden aufgenommen und bearbeitet. Wir überwachen z.B. die Betriebsbereitschaft Ihrer Dominoserver aus der Ferne, oder vertreten Sie direkt bei Ihnen vor Ort. Dabei profitieren Sie von unserer Expertise und Erfahrung. Zudem können Sie die Sommerzeit dann auch für ein System-Check-Up Ihrer IBM Notes und Domino Umgebung nutzen.
Für weitere Infomation stehen wir Ihnen gern zur Verfügung unter Tel.: 04307-900-418, oder per Mail: vertrieb@assono.de.
Interims Fix 8 für IBM Domino 8.5.3 Fix Pack 6 erschienen
Nach dem 4. Fix Pack für IBM Domino 9.0.1 vor ein paar Tagen, hatte ich
ja schon auf die entsprechende Aktualisierung der 8.5.3er Version gewartet.
Heute hatte mein warten ein Ende:
IBM den Interims Fix 8 für IBM Domino 8.5.3 Fix Pack 6 heraus gebracht.
Natürlich ist wieder ein kritisches Sicherheitsloch geschlossen worden - dasselbe wie bei der 9.0.1FP4:
Security Bulletin: IBM Domino Web Server Cross-site Scripting Vulnerability
CVEID: CVE-2015-1981
Description: IBM Domino Web server configured for Webmail is vulnerable to cross-site scripting, caused by improper validation of user-supplied input. A remote attacker could exploit this vulnerability using a specially-crafted URL to execute script in a victim's Web browser within the security context of the hosting Web site, once the URL is clicked. An attacker could use this vulnerability to steal the victim's cookie-based authentication credentials. Note that Domino servers configured for iNotes are not vulnerable to this attack.
Weitere Informationen:
Interim Fixes for 8.5.3 Fix Pack 6 versions of IBM Notes, Domino & iNotes
Download IBM Domino 8.5.3 Fix Pack 6 Interims Fix 8
Security Bulletin: IBM Domino Web Server Cross-site Scripting Vulnerability (CVE-2015-1981)
IBM den Interims Fix 8 für IBM Domino 8.5.3 Fix Pack 6 heraus gebracht.
Natürlich ist wieder ein kritisches Sicherheitsloch geschlossen worden - dasselbe wie bei der 9.0.1FP4:
Security Bulletin: IBM Domino Web Server Cross-site Scripting Vulnerability
CVEID: CVE-2015-1981
Description: IBM Domino Web server configured for Webmail is vulnerable to cross-site scripting, caused by improper validation of user-supplied input. A remote attacker could exploit this vulnerability using a specially-crafted URL to execute script in a victim's Web browser within the security context of the hosting Web site, once the URL is clicked. An attacker could use this vulnerability to steal the victim's cookie-based authentication credentials. Note that Domino servers configured for iNotes are not vulnerable to this attack.
Weitere Informationen:
Interim Fixes for 8.5.3 Fix Pack 6 versions of IBM Notes, Domino & iNotes
Download IBM Domino 8.5.3 Fix Pack 6 Interims Fix 8
Security Bulletin: IBM Domino Web Server Cross-site Scripting Vulnerability (CVE-2015-1981)
Fix Pack 4 für IBM Notes und Domino 9.0.1 erschienen
IBM hat vor ein paar Tagen das 4. Fix Pack für IBM Notes und Domino 9.0.1
heraus gebracht.
Important Notes
Ein Tag später kam dann ein Security Bulletin, dass der "IBM Domino Web server configured for Webmail has a cross-site scripting vulnerability."
CVEID: CVE-2015-1981
Description: IBM Domino Web server configured for Webmail is vulnerable to cross-site scripting, caused by improper validation of user-supplied input. A remote attacker could exploit this vulnerability using a specially-crafted URL to execute script in a victim's Web browser within the security context of the hosting Web site, once the URL is clicked. An attacker could use this vulnerability to steal the victim's cookie-based authentication credentials. Note that Domino servers configured for iNotes are not vulnerable to this attack.
Weitere Informationen:
IBM Notes/Domino 9.0.1 Fix Pack 4 Release Notice
Download IBM Notes 9.0.1 Fix Pack 4
Download IBM Domino 9.0.1 Fix Pack 4
Security Bulletin: IBM Domino Web Server Cross-site Scripting Vulnerability (CVE-2015-1981)
Important Notes
- 9.0.1 Fix Pack 4 updates the embedded Notes/Domino JVM to 1.6 SR16 FP4 to address security vulnerabilities.
- 9.0.1 Fix Pack 4 adds support for the following: Safari 8 for iNotes; SiteMinder 12.52 SP1
Ein Tag später kam dann ein Security Bulletin, dass der "IBM Domino Web server configured for Webmail has a cross-site scripting vulnerability."
CVEID: CVE-2015-1981
Description: IBM Domino Web server configured for Webmail is vulnerable to cross-site scripting, caused by improper validation of user-supplied input. A remote attacker could exploit this vulnerability using a specially-crafted URL to execute script in a victim's Web browser within the security context of the hosting Web site, once the URL is clicked. An attacker could use this vulnerability to steal the victim's cookie-based authentication credentials. Note that Domino servers configured for iNotes are not vulnerable to this attack.
Weitere Informationen:
IBM Notes/Domino 9.0.1 Fix Pack 4 Release Notice
Download IBM Notes 9.0.1 Fix Pack 4
Download IBM Domino 9.0.1 Fix Pack 4
Security Bulletin: IBM Domino Web Server Cross-site Scripting Vulnerability (CVE-2015-1981)
Sicherheitskritische Fehler in JVM behoben – JVM Patch SR16FP4
Als verantwortungsvoller und sicherheitsbewusster Domino-Administrator
hat man ja in letzter Zeit Einiges zu tun, um immer auf dem aktuellen Stand
zu bleiben. Für mich auffällig ist dabei, dass es immer wieder Lücken in
eingebetteten "Fremdprodukten" sind - heute ist es mal wieder
Java.
Der JVM Patch SR16FP4 bringt neue Sicherheit, die behobenen Probleme sind in der Technote Security Bulletin: Multiple vulnerabilities in IBM Java 6 SR16FP3 IF1 affect IBM Notes and Domino aufgelistet.
Quellen:
Download des JVM Patch SR16FP4 in der IBM Fix Central
Interim Fixes for 9.0.1.x versions of IBM Notes, Domino, iNotes & Notes Browser Plug-in
Interim Fixes for 8.5.3 Fix Pack 6 versions of IBM Notes, Domino & iNotes
Der JVM Patch SR16FP4 bringt neue Sicherheit, die behobenen Probleme sind in der Technote Security Bulletin: Multiple vulnerabilities in IBM Java 6 SR16FP3 IF1 affect IBM Notes and Domino aufgelistet.
Quellen:
Download des JVM Patch SR16FP4 in der IBM Fix Central
Interim Fixes for 9.0.1.x versions of IBM Notes, Domino, iNotes & Notes Browser Plug-in
Interim Fixes for 8.5.3 Fix Pack 6 versions of IBM Notes, Domino & iNotes
Domino von LogJam-Lücke in TLS nicht betroffen
Anfang der Woche schrieb ich bereits über eine bekannt gewordene Lücke in SSL/TLS nun folgt direkt die Nächste.
Diese nun LogJam genannte Lücke mit der CVE-ID "CVE-2015-4000" betrifft Server wie Clients gleichermaßen. Diese Lücke im DHE ermöglicht wohl einem "Man-In-The-Middle" eine Downgrade-Attack auf andere Verschlüsselungsstärken, so dass mitgeschnittener Netzwerkverkehr gelesen bzw. manipuliert werden kann.
Ich habe von IBM bisher keine offiziellen Statements gefunden, die eine Auskunft über die Betroffenheit der IBM-Produkte gibt. Wenn einer unserer Leser mehr weiß, ist er herzlich gebeten einen entsprechenden Kommentar zu hinterlassen
. Aber mehrere Dinge lassen sich sagen:
Domino kann vor 9.0.1 FP3 IF2 kein DHE. Ältere Domino-Versionen sind also deswegen schonmal nicht betroffen.
DHE muss in Domino 9.0.1 FP3 IF2 explizit eingestellt werden. In der Standardeinstellung ist Domino 9.0.1 FP3 IF2 also ebenfalls nicht betroffen.
Man kann seinen Server auf weakdhe.org auch testen lassen und erhält nebenbei auch Auskunft über die Verwundbarkeit seines Browsers
. Darren Duke hat das einmal für einen seiner Domino-Server mit aktiviertem DHE getan und der Test bestätigt ihm keine Verwundbarkeit.Wer sich nicht auf diese Webseite verlassen möchte oder Server testen möchte, die nicht im Web stehen, kann dies auch mit openssl tun.
Diese Aussagen ersetzen zwar m.E. kein offizielles Statement von IBM, lassen aber mit ausreichender Sicherheit vorläufig feststellen, dass
IBM Domino nicht von der LogJam-Lücke betroffen ist.