IBM hat mit neuen Interim Fixes auf diverse Sicherheitsprobleme im integrierten Dojo Toolkit reagiert. Es handelt sich um die Versionen
Weitere Infos auf den Übersichtsseiten:
IBM Interim Fixes for 8.5.3 Fix Pack 6 versions of IBM Notes, Domino & iNotes – United States
Seit heute gibt es im App Store die IBM Verse App für iOS. Im Gegensatz zur bisherigen iOS-Integration ist das jetzt eine Container-Lösung ohne Integration in die vorhandenen iOS-Apps.
Grundlegende Mail- und Kalenderfunktionen gehen auch mit “normalen” Traveler-Installationen ohne IBM Verse dahinter. Z.B. kann man direkt beim Mailversand ein Wiedervorlage-Flag setzen und bekommt das dann in einer eigenen Ansicht “Warten auf…” dargestellt:
Mails einer bestimmten Person können direkt in der Kontaktmaske dargestellt werden:
Serverseitig ist IBM Notes Traveler 9.0.1.3 Mindestvoraussetzung. Bei IBM gibt es eine FAQ.
IBM hat die Version 9.0.1.4 des Traveler-Servers veröffentlicht. Die fixt unter anderem ein Stabilitätsproblem von 9.0.1.3 beim Konvertieren von bestimmten MIME-Mails.
Weitere Details in den Release Notes und der Fix List.
IBM hat heute Version 9.0.1.3 des Travelers veröffentlicht (nein, 9.0.1.2 gab es nie, zumindest nicht öffentlich). Das neue Release bringt auch ein paar neue Features:
Außerdem lässt sich diese Version jetzt nicht mehr nur auf dem letzten Domino-Release installieren, sondern auch zurück bis Domino 8.5.3. Allerdings werden manche Features nur auf Domino 9 unterstützt.
IBM Traveler Server 9.0.1.3 Release Documentation – United States
IBM hat den ersten Interim Fix für 9.0.1 FP3 veröffentlicht. Eine Übersicht der enthaltenen Fixes mit SPR-Nummer:
Domino:
Notes:
iNotes
Der iNotes-Fix besteht nur aus der Forms9.nsf, die bei beendetem Server einfach ausgetauscht werden kann.
IBM hat das Fix Pack 3 für Notes und Domino 9.0.1 veröffentlicht. Es enthält u.a.:
Notes/Domino Fix List – IBM Notes/Domino 9.0.1 Fix Pack 3 Release Notice
Der erst kürzlich eingeführte TLS-Support für Domino ist – neben einigen anderen – anfällig für die sog. POODLE-Attacke. Dadurch ist es erforderlich, bei Domino-basierenden Webservern mit HTTPS-Konfiguration die aktuellsten Interim Fixes zu installieren. Das sind abhängig von der Domino-Version:
Details in einer Technote.
Zusätzlich kann man SSLv3 auf Serverseite per notes.ini-Parameter deaktivieren:
DISABLE_SSLV3=1
Das steht nicht in der Technote, sondern bei Daniel Nashed.
Auch der IHS ist betroffen, kann aber per Konfiguration gesichert werden.
Der JVM-Patch “SR16FP2” behebt zahlreiche Sicherheitslücken in der JVM, die von Oracle veröffentlicht wurden. Den Patch gibt es außer der Reihe für Notes und Domino 9.0.1 FP2 sowie 8.5.3 FP6.
Details und Verweise auf die einzelnen Probleme in einem Security Bulletin.
9.0.1 Fix Pack 2 Interim Fix 2 für Domino bzw. Interim Fix 3 für Notes beheben Probleme mit Terminen in russischen Zeitzonen, die durch die erneute Änderung der dortigen Sommerzeit-Regelung entstanden sind. Zusätzlich muss man unter Umständen ein Windows-Update installieren, die JVM fixen und per Agent vorhandene Termine aktualisieren. Details in einer Technote.
Letzte Woche schrieb ich noch, dass einzelne SSL-Zertifikatsanbieter keine SHA-1-Zertifikate mehr ausstellen. Dazu kommt noch, dass inzwischen mit Chrome der erste Browser Verbindungen unter bestimmten Umständen mit Warnhinweisen bzw. komplett als unverschlüsselt anzeigen wird, wenn sie noch auf einem SHA-1-Zertifikat basieren. Symantec hat eine schöne Übersicht dazu. Microsoft hat ähnliches für den IE angekündigt, lässt aber noch etwas mehr Zeit verstreichen.
Wie schon erwähnt, wird es für Domino 8.5.x keinen Support für SHA-2-Zertifikate geben. Wer also HTTPS-Dienste direkt mit Domino anbietet (z.B. iNotes), die potenziell mit Chrome abgerufen werden (Marktanteil in DE derzeit bei 25%), sollte kurzfristig ein Update auf Domino 9 einplanen. Dort kann dann entweder mit dem IHS unter Windows oder auch direkt mit dem Domino-HTTP-Task auf ein SHA-2-Zertifikat gewechselt werden.
Offenbar getrieben durch die aktuelle Poodle-Attacke auf SSLv3 hat IBM Interim Fixes veröffentlicht, mit denen Domino das SSL-Nachfolgeprotokoll TLS unterstützt. Und zwar erfreulicherweise nicht nur für HTTPS, sondern auch “Over all protocols (HTTP, SMTP, LDAP, POP3, IMAP & DIIOP)”.
Gleichzeitig implementiert ist “TLS_FALLBACK_SCSV”, dass eine sichere Herabstufung von TLS-Verbindungen bei Kompatibilitätsproblemen ermöglichen soll. Da Domino allerdings auch mit diesen Fixes das Abschalten von SSLv3 nicht ermöglicht, bin ich nicht 100% sicher, ob Poodle-Attacken in einem Umfeld mit potenziell ungesicherten Browsern komplett verhindert werden. Insofern ist die Implementierung eines Reverse Proxy oder die Verwendung des IBM HTTP Servers mit Domino 9 auf Windows immer noch die technisch beste Wahl.
Verhindert wird durch die Patches jedenfalls, dass Browser, bei denen gemäß den aktuellen Empfehlungen SSLv3 deaktiviert ist, keine Verbindung mehr mit HTTPS-Diensten von Domino aufnehmen können.
Gleichzeitig gibt es jetzt ein Tool, mit dem SHA-2-Zertifikate in die Domino-Keyring-Datei übernommen werden können. Einzelne Anbieter stellen jetzt schon keine SHA-1-Zertifikate mehr aus, was schon zu Komplikationen bei der Einrichtung von HTTPS geführt hat. SHA-2-Support gibt es ausschließlich ab Domino 9.
Die TLS-Fixes gibt es für:
Siehe auch IBM How is IBM Domino impacted by the POODLE attack? – United States und den Blog-Post von Daniel Nashed.
IBM hat eine Technote zur Kompatibilität von IBM Notes und OS X 10.10 Yosemite veröffentlicht. Demnach ist explizit nur Notes 9.0.1 mit Fix Pack 2 oder höher auf Yosemite supported. Und beim Client selbst nur die sog. “Slipstream”-Version, die Mitte Oktober neu veröffentlicht wurde.
Die dazugehörige Partnumber findet sich in der Technote, das Disk Image des deutschen Setups heißt Notes901_MAC_Slipstream_IT_DE.dmg. Zusätzlich ist die Installation der legacy Java SE 6 runtime von Apple notwendig.
Apple steht kurz vor der Veröffentlichung von iOS 8 und IBM hat diese Woche Fixes rausgebracht, die zumindest für neu unter iOS 8 konfigurierte Geräte zwingend erforderlich sind. Grund ist eine Änderung der für die Kommunikation verwendeten DeviceID. Detflef Poettgen beschreibt das im Detail:
The Device ID is device specific and can be used to track a Device. That’s the reason why Apple decided last year with iOS7 to define a new so called EAS Identifier, which will be a random generated number, which should be used in a future release instead of the Device ID. This EAS Identifier will only be used for ActiveSync and cannot be viewed by the user.
Starting last week with the iOS8 Gold Master release the iOS ActiveSync client is sending the EAS Identifier and no longer the Device ID to the Traveler server.
Diese Änderungen sind in 9.0.0.1 Interim Fix 7, 9.0.1 Interim Fix 6 und 853 Upgrade Pack 2 Interim Fix 7 enthalten. Mit diesen Versionen beginnt auch der Traveler-Support für iOS 8.
Kurz nach dem FP2 reicht IBM einen Interim Fix 1 für iNotes 9.0.1 FP2 nach. Er enthält nur den Fix für einen Fehler:
Attachment disappears when saving a message when enabling IBM iNotes ActiveX
Nach dem Update auf Chrome 37 kommt es zu verschiedenen Fehlern bei der Nutzung von iNotes. Mit dem Update auf diese Version wurde in Chrome eine API entfernt, die an mehreren Stellen genutzt wird:
Der Fix ist geplant für iNotes 9.0.1 FP3 und 9.0.2. Alternativ kann man die Funktion in Chrome für einen gewissen Zeitraum wieder aktivieren.
Details in der Technote.
