heisemeldung: Schwachstellen in Lotus Notes und Domino

[WernerMo]

Hallo,

gerade entdeckt:

Schwachstellen in Lotus Notes und Domino

Gruß Werner

[tom777]

Zahlreiche Sicherheitslücken in IBMs Lotus Notes und Domino ermöglichen Angreifern, beliebigen Schadcode auf betroffene Systeme zu schleusen und auszuführen. IBM stellt aktualisierte Software-Versionen bereit, die die Fehler beheben sollen. 

IBM hat Softwareaktualisierungen veröffentlicht, die die Fehler beheben. Administratoren sollten die fehlerberinigten Versionen Lotus Notes Release 6.5.6, 7.0.3, 8.0 oder 8.0.1 sowie Lotus Domino Server 6.5.5 Fix Pack 3, 6.5.6 Fix Pack 2, 7.0.2 Fix Pack 1, 7.0.3 oder 8.0 einspielen. Die aktuellen Versionen erlauben dann das Setzen neuer Parameter in der notes.ini zum Abdichten der Sicherheitslecks – laut Sicherheitsmeldungen von IBM handelt es sich um die Parameter SharedMemoryAllowOnly sowie Enforce_EffectiveUserRights_EvaluteCommand.

Sind endlich die Updates online?

[nd_adm]

Hier noch ein paar detailiertere Infos:

Potential vulnerability in Notes/Domino memory mapped files
Evaluate LotusScript method returns unexpected results

[WernerMo]

Hallo,

siehe auch Thread im offtopic:
http://atnotes.de/index.php?topic=38642.0

Gruß Werner

[WernerMo]

Hallo,

kannst Du bitte die Links hinter einen küzren Text legen, das zerfetzt sonst alles (Symbol mit Weltkugel + "=")

Vielen Dank im voraus.
Werner

[Glombi]

Hinweis: Die beiden Threads habe ich zusammengeführt und die Links von nd_adm aufbereitet.

[WernerMo]

Hallo Andreas,

vielen Dank

[smokyly]

Kann mir mal jemand mit einfachen Worten sagen, wo genau die Gefahr besteht? In dem Heise-Artikel sind ja mehrere Bugs angesprochen.

IMAP läuft bei uns nicht und als Firewall läuft eine Astaro. Auch Citrix wird eingesetzt.

Wir haben seit einigen Wochen einen neuen Chef und der macht sich jetzt große Sorgen. Zu Recht?

Das Problem mit dem Viewer ist ja beim Client angesiedelt. Daher finde ich den "Hinweis" im Artikel, den Server auch hoch zu ziehen etwas verwirrend und übertrieben.

Jetzt haben wir erst gerade nach 8 Wochen die Clients von 5 auf 7.0.2 hoch gezogen und nun schon wieder so viel Arbeit...?

[WernerMo]

Hallo "smokyly"

wenn ich das richtig sehe, dann können für euch (entsprechend Deiner Beschreibung) nur Gefahren von "innen" kommen u.a. das zum Thema TS beschriebene:

Notes und Domino nutzen zur Interprozesskommunikation (IPC) zwischen den Diensten NLNOTES and NTASKLDR sogenannte Memory Mapped Files. Die Zugriffsrechte darauf erlauben allerdings Zugriffsrechte für Jeder. Dadurch können auf Systemen wie einem Terminalserver, auf denen mehrere Nutzer gleichzeitig arbeiten, Anwender die Daten anderer Nutzer mitlesen oder ihnen sogar Scriptcode unterschieben.

Aber auch hier muss einer der TS-User (bei euch wohl über Citrix) das Potential zu so einem Angriff haben.

Also für mich ist viel wichtiger, dass IBM hier eine sehr ehrliche Politik fährt und sofort auf die Informationen reagiert hat, denn auch Heise hat das direkt von IBM (und nicht von extern).
 
Ich hoffe, das hilft Dir (und Deinem Chef) etwass weiter?

Gruß Werner

[smokyly]

Hallo Werner,

das kommt davon, wenn man als Elternzeitnehmer kaum schläft und dann auch noch die ganze Nacht vor der Kiste verbringt. Da fehlte ein"NICHT" in dem Satz wegen Citrix. Sorry dafür, aber danke für den Hinweis.

Also haben wir nur ein "theoretisches" Problem wegen der Anhänge?!

[SD]

http://www.heise.de/newsticker/meldung/98110

Für die verwundbare Exchange-Version 5.0.7.373 und die Domino-Version 7.5.0.19 gibt es noch keine Updates.

7.5.0.19? Hab ich was verpasst?

[MartinG]

Das ist die Version vom Symantec Virenscänner...

[SD]

Oh, okay, das kann ich einsehen.