Autor Thema: heisemeldung: Schwachstellen in Lotus Notes und Domino  (Gelesen 3661 mal)

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Hallo,

gerade entdeckt:

Schwachstellen in Lotus Notes und Domino

Gruß Werner
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Offline tom777

  • Frischling
  • *
  • Beiträge: 33
Schwachstellen in Lotus Notes und Domino
« Antwort #1 am: 24.10.07 - 12:54:43 »
Zahlreiche Sicherheitslücken in IBMs Lotus Notes und Domino ermöglichen Angreifern, beliebigen Schadcode auf betroffene Systeme zu schleusen und auszuführen. IBM stellt aktualisierte Software-Versionen bereit, die die Fehler beheben sollen. 

IBM hat Softwareaktualisierungen veröffentlicht, die die Fehler beheben. Administratoren sollten die fehlerberinigten Versionen Lotus Notes Release 6.5.6, 7.0.3, 8.0 oder 8.0.1 sowie Lotus Domino Server 6.5.5 Fix Pack 3, 6.5.6 Fix Pack 2, 7.0.2 Fix Pack 1, 7.0.3 oder 8.0 einspielen. Die aktuellen Versionen erlauben dann das Setzen neuer Parameter in der notes.ini zum Abdichten der Sicherheitslecks – laut Sicherheitsmeldungen von IBM handelt es sich um die Parameter SharedMemoryAllowOnly sowie Enforce_EffectiveUserRights_EvaluteCommand.

Sind endlich die Updates online? :)

Offline nd_adm

  • Aktives Mitglied
  • ***
  • Beiträge: 202
  • Geschlecht: Männlich
  • Nur der FCC!
« Letzte Änderung: 24.10.07 - 13:13:17 von Glombi »
Gruß
Thomas

1 Domino-Cluster 8.5.1 FP5 - Windows32 (2 Server)
3 Domino-Server 8.5.1 FP5 - Windows32
1 BlackBerry-Enterprise-Server (Domino-Server 8.5.1 FP5 - Windows32)

ca. 320 Clients 6.5.5, 8.0.2, 8.5.1 - Windows32 (Citrix, lokal)

iQSuite/GROUP Tools 13 (Wachdog, Wall, Clerk, Crypt, Trailer)
TSM mit TDP for Mail

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Re: Schwachstellen in Lotus Notes und Domino
« Antwort #3 am: 24.10.07 - 12:56:19 »
Hallo,

siehe auch Thread im offtopic:
http://atnotes.de/index.php?topic=38642.0

Gruß Werner
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Re: heisemeldung: Schwachstellen in Lotus Notes und Domino
« Antwort #4 am: 24.10.07 - 12:57:59 »
Hallo,

kannst Du bitte die Links hinter einen küzren Text legen, das zerfetzt sonst alles (Symbol mit Weltkugel + "=")

Vielen Dank im voraus.
Werner
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Glombi

  • Gast
Re: heisemeldung: Schwachstellen in Lotus Notes und Domino
« Antwort #5 am: 24.10.07 - 13:13:46 »
Hinweis: Die beiden Threads habe ich zusammengeführt und die Links von nd_adm aufbereitet.

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Re: heisemeldung: Schwachstellen in Lotus Notes und Domino
« Antwort #6 am: 24.10.07 - 21:25:43 »
Hallo Andreas,

vielen Dank
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Offline smokyly

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.169
  • Geschlecht: Männlich
  • Nicht jeder ist ersetzbar.
Re: heisemeldung: Schwachstellen in Lotus Notes und Domino
« Antwort #7 am: 25.10.07 - 01:28:39 »
Kann mir mal jemand mit einfachen Worten sagen, wo genau die Gefahr besteht? In dem Heise-Artikel sind ja mehrere Bugs angesprochen.

IMAP läuft bei uns nicht und als Firewall läuft eine Astaro. Auch Citrix wird eingesetzt.

Wir haben seit einigen Wochen einen neuen Chef und der macht sich jetzt große Sorgen. Zu Recht?

Das Problem mit dem Viewer ist ja beim Client angesiedelt. Daher finde ich den "Hinweis" im Artikel, den Server auch hoch zu ziehen etwas verwirrend und übertrieben.

Jetzt haben wir erst gerade nach 8 Wochen die Clients von 5 auf 7.0.2 hoch gezogen und nun schon wieder so viel Arbeit...?
Geri

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Re: heisemeldung: Schwachstellen in Lotus Notes und Domino
« Antwort #8 am: 25.10.07 - 08:33:52 »
Hallo "smokyly"

wenn ich das richtig sehe, dann können für euch (entsprechend Deiner Beschreibung) nur Gefahren von "innen" kommen u.a. das zum Thema TS beschriebene:

Zitat
Notes und Domino nutzen zur Interprozesskommunikation (IPC) zwischen den Diensten NLNOTES and NTASKLDR sogenannte Memory Mapped Files. Die Zugriffsrechte darauf erlauben allerdings Zugriffsrechte für Jeder. Dadurch können auf Systemen wie einem Terminalserver, auf denen mehrere Nutzer gleichzeitig arbeiten, Anwender die Daten anderer Nutzer mitlesen oder ihnen sogar Scriptcode unterschieben.

Aber auch hier muss einer der TS-User (bei euch wohl über Citrix) das Potential zu so einem Angriff haben.

Also für mich ist viel wichtiger, dass IBM hier eine sehr ehrliche Politik fährt und sofort auf die Informationen reagiert hat, denn auch Heise hat das direkt von IBM (und nicht von extern).
 
Ich hoffe, das hilft Dir (und Deinem Chef) etwass weiter?

Gruß Werner
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Offline smokyly

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.169
  • Geschlecht: Männlich
  • Nicht jeder ist ersetzbar.
Re: heisemeldung: Schwachstellen in Lotus Notes und Domino
« Antwort #9 am: 25.10.07 - 08:52:38 »
Hallo Werner,

das kommt davon, wenn man als Elternzeitnehmer kaum schläft und dann auch noch die ganze Nacht vor der Kiste verbringt. Da fehlte ein"NICHT" in dem Satz wegen Citrix. Sorry dafür, aber danke für den Hinweis.

Also haben wir nur ein "theoretisches" Problem wegen der Anhänge?!
Geri

Offline SD

  • Aktives Mitglied
  • ***
  • Beiträge: 164
Re: heisemeldung: Schwachstellen in Lotus Notes und Domino
« Antwort #10 am: 29.10.07 - 15:22:52 »
http://www.heise.de/newsticker/meldung/98110

Zitat
Für die verwundbare Exchange-Version 5.0.7.373 und die Domino-Version 7.5.0.19 gibt es noch keine Updates.
7.5.0.19? Hab ich was verpasst?

Offline MartinG

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.802
  • Geschlecht: Männlich
Re: heisemeldung: Schwachstellen in Lotus Notes und Domino
« Antwort #11 am: 29.10.07 - 15:24:13 »
Das ist die Version vom Symantec Virenscänner...
Martin
Wir leben zwar alle unter dem gleichen Himmel, aber wir haben nicht den gleichen Horizont.
KONRAD ADENAUER

Offline SD

  • Aktives Mitglied
  • ***
  • Beiträge: 164
Re: heisemeldung: Schwachstellen in Lotus Notes und Domino
« Antwort #12 am: 29.10.07 - 15:27:37 »
Oh, okay, das kann ich einsehen. :-[

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz