Autor Thema: Schwachstellen Domino + Client  (Gelesen 6117 mal)

klaussal

  • Gast

Offline HarryB

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 521
  • Geschlecht: Männlich
IBMs Lotus Notes und Lotus Domino absturzgefährdet
« Antwort #1 am: 12.04.05 - 09:10:52 »
Hat jemand nähere Informationen zu dieser Meldung?

http://www.heise.de/newsticker/meldung/58420

Viele Grüße
Harry
Harald "HarryB" Börger

2 x 7.0.2FP1 auf AIX (Cluster)
1 x 7.0.2FP2 auf AIX
1 x 6.5.5 auf AIX
4 x 7.02.FP2 auf WIN

Clients: 7.0.2

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.730
  • Geschlecht: Männlich
Re: IBMs Lotus Notes und Lotus Domino absturzgefährdet
« Antwort #2 am: 12.04.05 - 09:15:14 »
Informationen dazu habe ich keine, aber war das nicht schon immer so, daß ein Stück komplexer Software hin und wieder noch Fehler enthält ??

Aber das Thema scheint ja immens wichtig zu sein, wenn es gleich an mehreren Stellen hier im Forum behandelt wird.
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline HarryB

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 521
  • Geschlecht: Männlich
Re: Schwachstellen Domino + Client
« Antwort #3 am: 12.04.05 - 09:37:40 »
Ich kam nicht auf die Idee, dieses im Offtopic Bereich zu suchen, da ich das in einem Notes/Domino Forum durchaus für ontopic halte.

Mir ging es darum nähere Informationen darüber zu erhalten, wie sich die Schwachstellen in der Praxis auswirken. Oft gibt es ja gerade in Domino theoretische Schwachstellen, die in der Praxis allerdings keinerlei Relevanz haben.

Viele Grüße
Harry
Harald "HarryB" Börger

2 x 7.0.2FP1 auf AIX (Cluster)
1 x 7.0.2FP2 auf AIX
1 x 6.5.5 auf AIX
4 x 7.02.FP2 auf WIN

Clients: 7.0.2

Offline Semeaphoros

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.152
  • Geschlecht: Männlich
  • ho semeaphoros - agr.: der Notesträger
    • LIGONET GmbH
Re: Schwachstellen Domino + Client
« Antwort #4 am: 12.04.05 - 09:50:06 »
Naja, der Titel ist boulevard-regenbogenpresseähnlich sehr reisserisch. Bei genauem Hinsehen lässt sich zwar der Server stören, aber nicht missbrauchen.
Jens-B. Augustiny

Beratung und Unterstützung für Notes und Domino Infrastruktur und Anwendungen

Homepage: http://www.ligonet.ch

IBM Certified Advanced Application Developer - Lotus Notes and Domino 7 und 6
IBM Certified Advanced System Administrator - Lotus Notes and Domino 7 und 6

Glombi

  • Gast
Re: Schwachstellen Domino + Client
« Antwort #5 am: 12.04.05 - 09:54:16 »
Das ist ein Fall für das Offtopic, da es ja nicht konkret um ein bestimmtes Problem geht.
Zumal es bereits einen anderen Thread im Offtopic gab, der früher erstellt wurde. Beide Threads habe ich zusammengeführt.

Andreas

Offline tschroeder

  • Senior Mitglied
  • ****
  • Beiträge: 302
  • Geschlecht: Männlich
Re: Schwachstellen Domino + Client
« Antwort #6 am: 12.04.05 - 10:02:49 »
Naja, der Titel ist boulevard-regenbogenpresseähnlich sehr reisserisch. Bei genauem Hinsehen lässt sich zwar der Server stören, aber nicht missbrauchen.

Naja, wenn man mit Domino hostet, find ich den http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21202431 schon gar nicht ohne. Interessant sind auch mal wieder die Kommentare   >:( Es ist immer wieder interessant mit wieviel Elan die Leute zeigen, daß sie von der Materie nicht wirklich Ahnung haben und einfach mal das Maul aufreißen und ihren Müll präsentieren.

Gruß Thorsten
6 * Domino 6.5.5 auf W2K und W2003
ca. 380 Clients 6.5.1 und höher Windows und MAC

*** Ohne Computer währen wir heute noch nicht hinter dem Mond ***

Offline Semeaphoros

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.152
  • Geschlecht: Männlich
  • ho semeaphoros - agr.: der Notesträger
    • LIGONET GmbH
Re: Schwachstellen Domino + Client
« Antwort #7 am: 12.04.05 - 10:37:16 »
Wie gesagt, führt zur Störung, gestattet aber nicht, den Server zu missbrauchen. Ausserdem steht dort auch gleich, was man machen muss, wenn man das Problem beseitigen will.
Jens-B. Augustiny

Beratung und Unterstützung für Notes und Domino Infrastruktur und Anwendungen

Homepage: http://www.ligonet.ch

IBM Certified Advanced Application Developer - Lotus Notes and Domino 7 und 6
IBM Certified Advanced System Administrator - Lotus Notes and Domino 7 und 6

Offline Arno

  • Senior Mitglied
  • ****
  • Beiträge: 445
  • Geschlecht: Männlich
  • nur die Ruhe wir bekommen das schon hin ...
    • Gont
Re: Schwachstellen Domino + Client
« Antwort #8 am: 12.04.05 - 16:42:18 »
Hallo,
was mich an der ganzen sache stört ist die diskusion bei heise.... wenn jeder windowsfehler so ausgeschlachtet würde ... *seuftz*

und dann dieser verweis auf http://www.dreckstool.de/hitlist.php
da kann man wirklich nur mit dem kopf schütteln.

Ich will und kann Notes/Domino nicht verteidigen, sicher hat es seine fehler,
aber welche software hat keine fehler ? ( bitte nicht beantworten )

Alles hat seine vor und nachteile,
und man muss im einzelfall entscheiden ob man Outlook einsetzt oder Notes ( oder die Server versionen ) aber zu lesen was manche von den leuten ablassen ... tsss

mfg

Gont

IBM Certified System Administrator
IBM Certified Associate System Administrator
=================================================
R 7.0.3 (aussterbend) bis 8.Aktuell (gesammt ca. 150 Dominos auf der welt verteilt, schwerpunkt allerdings in Deutschland)

Offline Gandhi

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 918
  • Geschlecht: Männlich
  • Domino for the masses
Re: Schwachstellen Domino + Client
« Antwort #9 am: 12.04.05 - 17:12:17 »
So what?
Notes/Domino hat Fehler ==> Notes/Domino ist ein komplexes Softwareprodukt (Überraschung!!) und die haben nun mal Fehler.
Wer hier täglich mit Domino arbeitet und ernsthaft behauptet nicht zu wissen, dass Fehler existieren macht meiner Meinung nach definitiv viel falsch....oder arbeitet in der Marketing-Abteilung von IBM...

Wer suchet, der findet, und ich finde es für meine Arbeit eher hilfreich, wenn solche Meldungen in die Nachrichten kommen, hoffe ich doch, dass IBM hierdurch in seinen 'Bemühungen in der Qualitätssteigerung' (Lotus' Quality-Engineering Abteilung) bestätigt und 'unterstützt' wird.

Zur Diskussion bei Heise sei zu sagen: Aquila non captat muscat, was soviel heißt, dass ein Adler keine Mücken fängt. Im Falle des Heise Forums heißt das: Solange dort nur kleine Lichter diskutieren, die ohnehin niemals eine ernsthafte Entscheidung PRO/CONTRA Notes fällen dürfen ist das mir realtiv egal. Die tatsächlichen Anwender (Ich meine damit die Firmen, die sich für Notes entscheiden) wissen meiner Erfahrung nach sehr wohl um die Fehler und Vorteile von Notes.
Über dem Heise-Forum stehe ich echt drüber....wenn ich das nicht täte hätte ich ein ganz schönes emotionales Problem  8)
Der "Wenn ich" und der "Hätt' ich" das sind zwei arme Leut'
oder für den Süden:
Hatti Tatti Wari - san drei Larifari

Offline Semeaphoros

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.152
  • Geschlecht: Männlich
  • ho semeaphoros - agr.: der Notesträger
    • LIGONET GmbH
Re: Schwachstellen Domino + Client
« Antwort #10 am: 12.04.05 - 17:19:04 »
@replacesubstring("muscat";"muscat";"muscam")


 ;D


Quomodo demonstratur LotumNotum etiam linguam latinam scire
Jens-B. Augustiny

Beratung und Unterstützung für Notes und Domino Infrastruktur und Anwendungen

Homepage: http://www.ligonet.ch

IBM Certified Advanced Application Developer - Lotus Notes and Domino 7 und 6
IBM Certified Advanced System Administrator - Lotus Notes and Domino 7 und 6

Offline Arno

  • Senior Mitglied
  • ****
  • Beiträge: 445
  • Geschlecht: Männlich
  • nur die Ruhe wir bekommen das schon hin ...
    • Gont
Re: Schwachstellen Domino + Client
« Antwort #11 am: 12.04.05 - 17:28:19 »
@Semeaphoros

Bitte einmal in mir verständlich ( also einfachen wörtern )
denn ich kann kein römisch was nicht in asterix bänden uebersetzt wird. 

:)


mfg

Gont
IBM Certified System Administrator
IBM Certified Associate System Administrator
=================================================
R 7.0.3 (aussterbend) bis 8.Aktuell (gesammt ca. 150 Dominos auf der welt verteilt, schwerpunkt allerdings in Deutschland)

Offline Gandhi

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 918
  • Geschlecht: Männlich
  • Domino for the masses
Re: Schwachstellen Domino + Client
« Antwort #12 am: 12.04.05 - 17:32:43 »
Ehrlich?? Bin mir ziemlich sicher, dass in meinem Lateinbuch mal muscat drinstand.... ;D
Nun gut. Womit bewiesen wäre, dass es mit meinen Lateinkenntnissen nicht mehr weit her ist (und ehrlich gesagt auch nie war....)

Hab nachgeschaut: War auch noch Plural....
Aquila non captat muscas (der Adler fängt keine Fliegen...)
« Letzte Änderung: 12.04.05 - 17:34:15 von Gandhi »
Der "Wenn ich" und der "Hätt' ich" das sind zwei arme Leut'
oder für den Süden:
Hatti Tatti Wari - san drei Larifari

Marinero Atlántico

  • Gast
Re: Schwachstellen Domino + Client
« Antwort #13 am: 12.04.05 - 17:39:58 »
Interessiert noch es irgendjemand, wenn teilalphabetisierte Leute ihre Meinungen zu Komputer-Systemen äußern  ???

Buffer Overruns in Certain Date Fields Cause Domino Server Crash
--> Es gibt eben einen Grund, warum es in gemanagten Umgebungen wie .NET oder J2EE Schutz gegen solche buffer overruns eingebaut sind. Halte ich für einen Fortschritt. Im übrigen sollten natürlich auch Eingaben von aussen immer validiert werden und im Zweifel mehrmals.
IMHO gibt es bei entsprechender Programmierung (z.B. Agenten direkt ansprechbar machen) noch ganz andere Möglichkeiten für Denial Of Service Attacken. Ich werd das demnächst mal ein bischen abcheckcen, ohne Server wirklich zu crashen. 

Potential Denial of Service Vulnerability During Notes Authentication
 Technote (FAQ)
--> Das ist ziemlich krass. Zeigt, dass Lotus selbst Lücken bei der Validierung von einkommenden Daten hat. Wenn man in C arbeitet (wie Lotus), passiert sowas schnell. Ich halte ja .NET und Java da für Fortschritt.

Potential Denial of Service Vulnerability in Notes Client
---> Zur Notes.ini eines Clients sollten Hacker auch keinen Zugang haben. Deshalb find ich das nicht so schlimm.
 
Lotus Domino allows HTTP header injection
--> das kann man auf jedem Server mit Entwicklerrechten. Egal ob ASP.NET, J2EE oder PHP. Die Aufregung verstehe ich nicht. 


Das eigentlich schlimme an Lotus bleibt der Argumentationsstil von Ed Brill.  ;D

Offline Semeaphoros

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.152
  • Geschlecht: Männlich
  • ho semeaphoros - agr.: der Notesträger
    • LIGONET GmbH
Re: Schwachstellen Domino + Client
« Antwort #14 am: 12.04.05 - 17:41:30 »
Ghandi: Ob Mücke oder Fliege ..... das ist Interpretationsssache ... nur so nebenbei. Grundbedeutung von musca ist tatsächlich die Fliege. Und der Akkusativ kann nicht auf -t enden (mit Ausnahme von vielleicht nicht deklinierbaren Substantiven - also Sonderfällen - mir ist aber keiner bekannt, was nicht heisst, dass es keinen gibt .... ). Also entweder muscam (sg.) oder muscas (pl.). Muscat wäre als Verbform denkbar, aber es gibt das Verb "muscare" nicht - hab eben extra noch nachgeschaut.

Gont: hmmm, ich kann auch kein römisch ...... weils das nicht gibt ...  ;D


Ach ... Du meinst wohl: "womit bewiesen ist, dass LotusNotus auch Latein kann" ....  ;D
Jens-B. Augustiny

Beratung und Unterstützung für Notes und Domino Infrastruktur und Anwendungen

Homepage: http://www.ligonet.ch

IBM Certified Advanced Application Developer - Lotus Notes and Domino 7 und 6
IBM Certified Advanced System Administrator - Lotus Notes and Domino 7 und 6

Offline Gandhi

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 918
  • Geschlecht: Männlich
  • Domino for the masses
Re: Schwachstellen Domino + Client
« Antwort #15 am: 12.04.05 - 17:45:19 »
Das erinnert mich jetzt ein wenig an 'Life of Brian'....:"Wie heißt Römer auf lateinisch...." (Oder auch: "Ein Mensch, genannt Römer, geht nach Hause") ;D ;D ;D

Aber natürlich hast Du Recht: Akkusativ (Wen will der Adler nicht fressen)
Und dann natürlich Muscam/Muscas...ganz einfach, wenn man drüber nachdenkt und nicht einfach ein Zitat mit zwischenzeitlich falsch memoriertem Inhalt hinschreibt....
« Letzte Änderung: 12.04.05 - 17:50:34 von Gandhi »
Der "Wenn ich" und der "Hätt' ich" das sind zwei arme Leut'
oder für den Süden:
Hatti Tatti Wari - san drei Larifari

Offline Semeaphoros

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.152
  • Geschlecht: Männlich
  • ho semeaphoros - agr.: der Notesträger
    • LIGONET GmbH
Re: Schwachstellen Domino + Client
« Antwort #16 am: 12.04.05 - 17:48:26 »
Aehm, erster Versuch: Latinus ?
Jens-B. Augustiny

Beratung und Unterstützung für Notes und Domino Infrastruktur und Anwendungen

Homepage: http://www.ligonet.ch

IBM Certified Advanced Application Developer - Lotus Notes and Domino 7 und 6
IBM Certified Advanced System Administrator - Lotus Notes and Domino 7 und 6

Offline Gandhi

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 918
  • Geschlecht: Männlich
  • Domino for the masses
Re: Schwachstellen Domino + Client
« Antwort #17 am: 12.04.05 - 17:50:51 »
Was meinst Du? Der Römer? Der heißt Romanus ;D
und mein Lateinbuch, aus dem ich dieses schöne Sprichwort lernte war der Bornemann
« Letzte Änderung: 12.04.05 - 18:01:02 von Gandhi »
Der "Wenn ich" und der "Hätt' ich" das sind zwei arme Leut'
oder für den Süden:
Hatti Tatti Wari - san drei Larifari

Offline Semeaphoros

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.152
  • Geschlecht: Männlich
  • ho semeaphoros - agr.: der Notesträger
    • LIGONET GmbH
Re: Schwachstellen Domino + Client
« Antwort #18 am: 12.04.05 - 17:58:41 »
 ???
Jens-B. Augustiny

Beratung und Unterstützung für Notes und Domino Infrastruktur und Anwendungen

Homepage: http://www.ligonet.ch

IBM Certified Advanced Application Developer - Lotus Notes and Domino 7 und 6
IBM Certified Advanced System Administrator - Lotus Notes and Domino 7 und 6

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz