Schwachstellen Domino + Client

[klaussal]

http://www.heise.de/newsticker/meldung/58420

[HarryB]

Hat jemand nähere Informationen zu dieser Meldung?

http://www.heise.de/newsticker/meldung/58420

Viele Grüße
Harry

[eknori]

Informationen dazu habe ich keine, aber war das nicht schon immer so, daß ein Stück komplexer Software hin und wieder noch Fehler enthält ??

Aber das Thema scheint ja immens wichtig zu sein, wenn es gleich an mehreren Stellen hier im Forum behandelt wird.

[HarryB]

Ich kam nicht auf die Idee, dieses im Offtopic Bereich zu suchen, da ich das in einem Notes/Domino Forum durchaus für ontopic halte.

Mir ging es darum nähere Informationen darüber zu erhalten, wie sich die Schwachstellen in der Praxis auswirken. Oft gibt es ja gerade in Domino theoretische Schwachstellen, die in der Praxis allerdings keinerlei Relevanz haben.

Viele Grüße
Harry

[Semeaphoros]

Naja, der Titel ist boulevard-regenbogenpresseähnlich sehr reisserisch. Bei genauem Hinsehen lässt sich zwar der Server stören, aber nicht missbrauchen.

[Glombi]

Das ist ein Fall für das Offtopic, da es ja nicht konkret um ein bestimmtes Problem geht.
Zumal es bereits einen anderen Thread im Offtopic gab, der früher erstellt wurde. Beide Threads habe ich zusammengeführt.

Andreas

[tschroeder]

Naja, der Titel ist boulevard-regenbogenpresseähnlich sehr reisserisch. Bei genauem Hinsehen lässt sich zwar der Server stören, aber nicht missbrauchen.

Naja, wenn man mit Domino hostet, find ich den http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21202431 schon gar nicht ohne. Interessant sind auch mal wieder die Kommentare    Es ist immer wieder interessant mit wieviel Elan die Leute zeigen, daß sie von der Materie nicht wirklich Ahnung haben und einfach mal das Maul aufreißen und ihren Müll präsentieren.

Gruß Thorsten

[Semeaphoros]

Wie gesagt, führt zur Störung, gestattet aber nicht, den Server zu missbrauchen. Ausserdem steht dort auch gleich, was man machen muss, wenn man das Problem beseitigen will.

[Arno]

Hallo,
was mich an der ganzen sache stört ist die diskusion bei heise.... wenn jeder windowsfehler so ausgeschlachtet würde ... *seuftz*

und dann dieser verweis auf http://www.dreckstool.de/hitlist.php
da kann man wirklich nur mit dem kopf schütteln.

Ich will und kann Notes/Domino nicht verteidigen, sicher hat es seine fehler,
aber welche software hat keine fehler ? ( bitte nicht beantworten )

Alles hat seine vor und nachteile,
und man muss im einzelfall entscheiden ob man Outlook einsetzt oder Notes ( oder die Server versionen ) aber zu lesen was manche von den leuten ablassen ... tsss

mfg

Gont

[Gandhi]

So what?
Notes/Domino hat Fehler ==> Notes/Domino ist ein komplexes Softwareprodukt (Überraschung!!) und die haben nun mal Fehler.
Wer hier täglich mit Domino arbeitet und ernsthaft behauptet nicht zu wissen, dass Fehler existieren macht meiner Meinung nach definitiv viel falsch....oder arbeitet in der Marketing-Abteilung von IBM...

Wer suchet, der findet, und ich finde es für meine Arbeit eher hilfreich, wenn solche Meldungen in die Nachrichten kommen, hoffe ich doch, dass IBM hierdurch in seinen 'Bemühungen in der Qualitätssteigerung' (Lotus' Quality-Engineering Abteilung) bestätigt und 'unterstützt' wird.

Zur Diskussion bei Heise sei zu sagen: Aquila non captat muscat, was soviel heißt, dass ein Adler keine Mücken fängt. Im Falle des Heise Forums heißt das: Solange dort nur kleine Lichter diskutieren, die ohnehin niemals eine ernsthafte Entscheidung PRO/CONTRA Notes fällen dürfen ist das mir realtiv egal. Die tatsächlichen Anwender (Ich meine damit die Firmen, die sich für Notes entscheiden) wissen meiner Erfahrung nach sehr wohl um die Fehler und Vorteile von Notes.
Über dem Heise-Forum stehe ich echt drüber....wenn ich das nicht täte hätte ich ein ganz schönes emotionales Problem 

[Semeaphoros]

@replacesubstring("muscat";"muscat";"muscam")


 


Quomodo demonstratur LotumNotum etiam linguam latinam scire

[Arno]

@Semeaphoros

Bitte einmal in mir verständlich ( also einfachen wörtern )
denn ich kann kein römisch was nicht in asterix bänden uebersetzt wird. 




mfg

Gont

[Gandhi]

Ehrlich?? Bin mir ziemlich sicher, dass in meinem Lateinbuch mal muscat drinstand....
Nun gut. Womit bewiesen wäre, dass es mit meinen Lateinkenntnissen nicht mehr weit her ist (und ehrlich gesagt auch nie war....)

Hab nachgeschaut: War auch noch Plural....
Aquila non captat muscas (der Adler fängt keine Fliegen...)

[Marinero Atlántico]

Interessiert noch es irgendjemand, wenn teilalphabetisierte Leute ihre Meinungen zu Komputer-Systemen äußern 

Buffer Overruns in Certain Date Fields Cause Domino Server Crash
--> Es gibt eben einen Grund, warum es in gemanagten Umgebungen wie .NET oder J2EE Schutz gegen solche buffer overruns eingebaut sind. Halte ich für einen Fortschritt. Im übrigen sollten natürlich auch Eingaben von aussen immer validiert werden und im Zweifel mehrmals.
IMHO gibt es bei entsprechender Programmierung (z.B. Agenten direkt ansprechbar machen) noch ganz andere Möglichkeiten für Denial Of Service Attacken. Ich werd das demnächst mal ein bischen abcheckcen, ohne Server wirklich zu crashen. 

Potential Denial of Service Vulnerability During Notes Authentication
 Technote (FAQ)
--> Das ist ziemlich krass. Zeigt, dass Lotus selbst Lücken bei der Validierung von einkommenden Daten hat. Wenn man in C arbeitet (wie Lotus), passiert sowas schnell. Ich halte ja .NET und Java da für Fortschritt.

Potential Denial of Service Vulnerability in Notes Client
---> Zur Notes.ini eines Clients sollten Hacker auch keinen Zugang haben. Deshalb find ich das nicht so schlimm.
 
Lotus Domino allows HTTP header injection
--> das kann man auf jedem Server mit Entwicklerrechten. Egal ob ASP.NET, J2EE oder PHP. Die Aufregung verstehe ich nicht. 


Das eigentlich schlimme an Lotus bleibt der Argumentationsstil von Ed Brill. 

[Semeaphoros]

Ghandi: Ob Mücke oder Fliege ..... das ist Interpretationsssache ... nur so nebenbei. Grundbedeutung von musca ist tatsächlich die Fliege. Und der Akkusativ kann nicht auf -t enden (mit Ausnahme von vielleicht nicht deklinierbaren Substantiven - also Sonderfällen - mir ist aber keiner bekannt, was nicht heisst, dass es keinen gibt .... ). Also entweder muscam (sg.) oder muscas (pl.). Muscat wäre als Verbform denkbar, aber es gibt das Verb "muscare" nicht - hab eben extra noch nachgeschaut.

Gont: hmmm, ich kann auch kein römisch ...... weils das nicht gibt ... 


Ach ... Du meinst wohl: "womit bewiesen ist, dass LotusNotus auch Latein kann" .... 

[Gandhi]

Das erinnert mich jetzt ein wenig an 'Life of Brian'....:"Wie heißt Römer auf lateinisch...." (Oder auch: "Ein Mensch, genannt Römer, geht nach Hause")

Aber natürlich hast Du Recht: Akkusativ (Wen will der Adler nicht fressen)
Und dann natürlich Muscam/Muscas...ganz einfach, wenn man drüber nachdenkt und nicht einfach ein Zitat mit zwischenzeitlich falsch memoriertem Inhalt hinschreibt....

[Semeaphoros]

Aehm, erster Versuch: Latinus ?

[Gandhi]

Was meinst Du? Der Römer? Der heißt Romanus
und mein Lateinbuch, aus dem ich dieses schöne Sprichwort lernte war der Bornemann

[Semeaphoros]