Posts Tagged: ‘tls’

IBM Domino HTTP-Server gegen die ROBOT-Attacke absichern

8. Januar 2018 Posted by Oliver Regelmann

Mitte Dezember wurde öffentlich, dass eine im Grunde 19 Jahre alte Sicherheitslücke in TLS immer noch in zahlreichen HTTP-Servern existiert:

heise Security: ROBOT-Attacke: TLS-Angriff von 1998 funktioniert immer noch

Man kann seine(n) HTTPS-Server auf Verwundbarkeit testen, indem man die Checks von https://robotattack.org/ oder https://www.ssllabs.com/ssltest/ verwendet.

Für IBM Domino gab und gibt es bis zum jetzigen Zeitpunkt keinen direkten Fix. Man kann das Problem aber umgehen, indem man die Verwendung der verwundbaren RSA-Ciphers deaktiviert. Das geht seit 9.0.1 FP3 mit Hilfe des ini-Parameters SSLCipherSpec. Eine komplette Doku davon gibt es hier. Man muss die Default-Liste der unterstützten Ciphers anpassen, indem man den Parameter nur noch mit den gewollten Werten setzt und den HTTP neustartet.

Hiermit werden z.B. nur noch die DHE und ECDHE-Ciphers unterstützt und der Server ist nicht mehr für ROBOT anfällig (9.0.1 FP5 und höher vorausgesetzt):

set config SSLCipherSpec=C030009FC02F009EC028006BC0140039C0270067C013
restart task http

Das betrifft nur Domino-Server, die direkt aus dem Internet erreichbar sind, ohne z.B. eine Reverse Proxy davor.

Vorsicht geboten ist dann, wenn nicht ausgeschlossen werden kann, dass Clients auf den Server zugreifen, die weder DHE noch ECDHE unterstützen. Aber die sollte es heute eigentlich nicht mehr geben. Und wenn doch, ist das ein ganz eigenes Problem.

Der Beitrag IBM Domino HTTP-Server gegen die ROBOT-Attacke absichern erschien zuerst auf n-komm GmbH.

Read full article |Kommentare deaktiviert für IBM Domino HTTP-Server gegen die ROBOT-Attacke absichern
Tags: , , , ,
Categories: Allgemein

Künftige HTTPS-Anforderungen an Traveler-Server

4. Oktober 2016 Posted by Oliver Regelmann

IBM hat eine Technote veröffentlicht, in der detailliert auf Anforderungen hingewiesen wird, die Traveler-Server ab Anfang Januar 2017 erfüllen müssen, damit die dann aktuellen Verse-, Companion- und To-Do-Apps weiterhin einwandfrei funktionieren:

In the coming months, IBM will be enhancing the IBM Verse for iOS, IBM Verse for Android, IBM Notes Traveler Companion and IBM Notes Traveler To Do mobile apps to require that a secure connection be used between the mobile app and the endpoint used for connecting to the IBM Traveler server.
This article describes the security requirements with step-by-step instructions for ensuring that your on-premises IBM Traveler environment has adequate connection security in place to support these updated apps.

IBM Securing connections for IBM Traveler mobile applications (Action Required by January 1, 2017)

Die Lektüre und Prüfung der eigenen Umgebung sei jedem hiermit empfohlen.

Der Beitrag Künftige HTTPS-Anforderungen an Traveler-Server erschien zuerst auf n-komm GmbH.

Read full article |Kommentare deaktiviert für Künftige HTTPS-Anforderungen an Traveler-Server
Tags: , , ,
Categories: Allgemein

Neue Interim Fixes für IBM Notes und Domino 9.0.1 FP3 bieten jetzt Support für TLS 1.2

1. April 2015 Posted by Torben Busch

Mit dem Domino 9.0.1 FixPack3 InterimFix2 und dem Notes 9.0.1 FixPack3 InterimFix3 wurde Client- und Serverseitig nun die Version 1.2 von Transport Layer Security (TLS) für die Protokolle HTTP, SMTP, LDAP, POP3 & IMAP inklusive der folgenden Features implementiert:

  • Add pinning to SHA-256 for TLS 1.2
  • Added Perfect Forward Secrecy (PFS) via Ephemeral Diffie-Hellman (DHE) cipher specs for SSL/TLS
  • Added Advanced Encryption Standard (AES) Galois/Counter Mode for increased security with TLS 1.2
  • Added SHA-256 cipher specs for increased security with TLS 1.2

Weitere Informationen sowie Links zu den Interim Fixes findet ihr hier:

http://www-10.lotus.com/ldd/dominowiki.nsf/dx/TLS_1.2

 

Und sollten euch bei den Unmengen an InterimFixes, die IBM in den letzten Wochen und Monaten veröffentlicht hat, einige Fragen zum Update eurer Domino Infrastruktur auf der Zunge brennen, helfen wir euch gerne weiter.
Oder ihr könnt IBM direkt fragen - bei der nächsten "Ask The Expert"-Session am 07. April: Have your Notes & Domino install & upgrade questions answered at our next Ask The Experts session - 7 April 2015

 

Read full article |Kommentare deaktiviert für Neue Interim Fixes für IBM Notes und Domino 9.0.1 FP3 bieten jetzt Support für TLS 1.2
Tags: , , ,
Categories: Allgemein

TLS v1.2 in Domino 9.0.1 FP3

17. März 2015 Posted by Henning Schmidt

IBM hat nach POODLE erstaunlich schnell reagiert und anstelle des unsicheren SSL v3 TLS v1.0 in Domino integriert. Nun ist TLS v1.0 nicht gerade das aktuellste Protokoll und auch nicht unverwundbar. Daher ist der nächste Schritt nur konsequent. Mit einem der nächsten Fixes für Domino 9.0.1 FP3 wird TLS v1.2 unterstützt. Die Unterstützung hat IBM […]
Read full article |Kommentare deaktiviert für TLS v1.2 in Domino 9.0.1 FP3
Tags: , , , ,
Categories: Allgemein

9.0.1 Fix Pack 3 veröffentlicht

26. Januar 2015 Posted by Oliver Regelmann

IBM hat das Fix Pack 3 für Notes und Domino 9.0.1 veröffentlicht. Es enthält u.a.:

Notes/Domino Fix List – IBM Notes/Domino 9.0.1 Fix Pack 3 Release Notice

Read full article |Kommentare deaktiviert für 9.0.1 Fix Pack 3 veröffentlicht
Tags: , , ,
Categories: Allgemein

Fixes für POODLE-Problem im Domino-TLS

21. Dezember 2014 Posted by Oliver Regelmann

Der erst kürzlich eingeführte TLS-Support für Domino ist – neben einigen anderen – anfällig für die sog. POODLE-Attacke. Dadurch ist es erforderlich, bei Domino-basierenden Webservern mit HTTPS-Konfiguration die aktuellsten Interim Fixes zu installieren. Das sind abhängig von der Domino-Version:

  • 9.0.1 Fix Pack 2 Interim Fix 3
  • 9.0 Interim Fix 7
  • 8.5.3 Fix Pack 6 Interim Fix 6
  • 8.5.2 Fix Pack 4 Interim Fix 3
  • 8.5.1 Fix Pack 5 Interim Fix 3

Details in einer Technote.

Zusätzlich kann man SSLv3 auf Serverseite per notes.ini-Parameter deaktivieren:

DISABLE_SSLV3=1

Das steht nicht in der Technote, sondern bei Daniel Nashed.

 

Auch der IHS ist betroffen, kann aber per Konfiguration gesichert werden.

Read full article |Kommentare deaktiviert für Fixes für POODLE-Problem im Domino-TLS
Tags: , , , , ,
Categories: Allgemein

TLS- und SHA-2-Patches für IBM Domino

5. November 2014 Posted by Oliver Regelmann

Offenbar getrieben durch die aktuelle Poodle-Attacke auf SSLv3 hat IBM Interim Fixes veröffentlicht, mit denen Domino das SSL-Nachfolgeprotokoll TLS unterstützt. Und zwar erfreulicherweise nicht nur für HTTPS, sondern auch “Over all protocols (HTTP, SMTP, LDAP, POP3, IMAP & DIIOP)”.

Gleichzeitig implementiert ist “TLS_FALLBACK_SCSV”, dass eine sichere Herabstufung von TLS-Verbindungen bei Kompatibilitätsproblemen ermöglichen soll. Da Domino allerdings auch mit diesen Fixes das Abschalten von SSLv3 nicht ermöglicht, bin ich nicht 100% sicher, ob Poodle-Attacken in einem Umfeld mit potenziell ungesicherten Browsern komplett verhindert werden. Insofern ist die Implementierung eines Reverse Proxy oder die Verwendung des IBM HTTP Servers mit Domino 9 auf Windows immer noch die technisch beste Wahl.

Verhindert wird durch die Patches jedenfalls, dass Browser, bei denen gemäß den aktuellen Empfehlungen SSLv3 deaktiviert ist, keine Verbindung mehr mit HTTPS-Diensten von Domino aufnehmen können.

Gleichzeitig gibt es jetzt ein Tool, mit dem SHA-2-Zertifikate in die Domino-Keyring-Datei übernommen werden können. Einzelne Anbieter stellen jetzt schon keine SHA-1-Zertifikate mehr aus, was schon zu Komplikationen bei der Einrichtung von HTTPS geführt hat. SHA-2-Support gibt es ausschließlich ab Domino 9.

Die TLS-Fixes gibt es für:

Siehe auch IBM How is IBM Domino impacted by the POODLE attack? – United States und den Blog-Post von Daniel Nashed.

Read full article |Kommentare deaktiviert für TLS- und SHA-2-Patches für IBM Domino
Tags: , , , ,
Categories: Allgemein