Autor Thema: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben  (Gelesen 6899 mal)

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Hallo

gerade bei heise gefunden:


http://www.heise.de/newsticker/IBMs-Lotus-Domino-laesst-sich-Code-unterschieben--/meldung/108239

Gruß Werner

- edit (14:07 Uhr) -
was mich irritiert, nur in einem der beiden Dokument von IBM ist davon die Rede:
"Attacker must be able to authenticate"
im anderen nicht, das würde heißen, dass jeder Server mit http-Task von jedem Angreifer kompromitiert werden kann? buh
« Letzte Änderung: 21.05.08 - 14:08:03 von WernerMo »
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
« Antwort #1 am: 21.05.08 - 14:37:18 »
Die 1303057 ist ein Stack-Overflow Bug (schlampige Programmierung im Web-Server Code), der den Server zum Absturz bringen kann. Da brauchts keine Anmeldung, da reicht es, wenn der http-Request vom Server entgegengenommen wird, wurscht ob wer angemeldet ist, oder nicht.

Der hat mit dem anderen (1303296) Bug nix zu tun.



HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
« Antwort #2 am: 21.05.08 - 14:46:12 »
Hallo,

danke Martin, für die Differenzierung, habe ich inzwischen auch gemerkt, aber dennoch kompromitieren beide den Webserver.

Das Eigenartige ist nur, dass in der Fixliste zum FP1 diese beiden SPRs nicht genannt sind.

Ich vermute da wird bei mir nichts aus dem Feiertag morgen, für Tests unter 7.03 FP1 geht der morgige Tag garantiert drauf. Hoffentlich hilft es dann wenigsten.

Gruß Werner
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
« Antwort #3 am: 21.05.08 - 15:12:09 »
Hab grade einen PMR für 6.5.x aufgemacht.

Da hält sich IBM etwas zurrück...
Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
« Antwort #4 am: 21.05.08 - 15:26:22 »
Hallo

mein PMR ist seit 13:56 offen: ..821
Zwischenergebnis steht in meinem zweiten Beitrag s.o.

Gruß Werner
-edit-
bei mir ist es aber für 7.0.2 FP2 (mit Hotfix 702FP2HF745)
« Letzte Änderung: 21.05.08 - 16:02:56 von WernerMo »
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
« Antwort #5 am: 21.05.08 - 15:32:39 »
Hab grade einen PMR für 6.5.x aufgemacht.

Da hält sich IBM etwas zurrück...
Heheh. Ich hab unsere Betriebler auch schon drauf gehetzt. Ich denke, sie wollen/wollten sich den Fix sparen, weil 6.5. "eh bald" Out Of Support ist.
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
« Antwort #6 am: 21.05.08 - 16:39:32 »
Hallo,

nun habe ich es "amtlich",  beide SPRs sind wirklich im 7.0.3. FP1 behoben
(auch wenn diese nicht in der Fixliste genannt sind)
Nun muss ich nur noch auf meinen HF745 warten.

Gruß Werner
PS viel Glück für die 6.5.x-Admins
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
« Antwort #7 am: 21.05.08 - 18:05:52 »
Das habe ich als Antwort erhalten:


Zitat
Hello Dirk

Thank you for taking my call earlier.

I have checked the technote and the related SPR. I also discussed with our
technical advisor.

In fact this vulnerability was not ever seen in the R6.5.4 platform. It
only affects the webservers from version 7.

I have started the process to update the technote so that it will reflect
the correct platforms
Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
« Antwort #8 am: 21.05.08 - 18:50:22 »
Hallo Dirk

danke für die Info,
da wird sich aber Martin freuen,

Gruß Werner
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
« Antwort #9 am: 21.05.08 - 19:43:40 »
Ahhh, schade.  ;)

Ich hab mich schon darauf gefreut, unseren "fleissigen" Admins beim Patchen zuzusehen.  ;D
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
« Antwort #10 am: 22.05.08 - 19:30:31 »
Hallo,

Nun muss ich nur noch auf meinen HF745 warten.

da kann man nicht meckern: gerade kam auch der HF noch, 26 Stunden finde ich schon gut.
Nun gehts ans Testen auf dem Testserver und dann heute nacht aufs Livesystem.

Gruß Werner
« Letzte Änderung: 22.05.08 - 19:35:05 von WernerMo »
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
« Antwort #11 am: 23.05.08 - 18:00:27 »
Martin darf wohl doch zuschauen:

Obwohl der PMR schon zu war habe ich eben das hier erhalten:

(Sorry Zitat geht auf dem Blackberry nicht)

"
Hello Dirk

I have learned today that there will be fixes available for the V6 domino.
Therefore I have re-opened the PMR for you and will escalate it to
development for a fix for you domino release 6.5.4

I will let you know as soon as I obtain the fixes"
Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
« Antwort #12 am: 31.05.08 - 21:10:00 »
Hallo,

da kann man nicht meckern: gerade kam auch der HF noch, 26 Stunden finde ich schon gut.
Nun gehts ans Testen auf dem Testserver und dann heute nacht aufs Livesystem.

leider hielt dieser HF auch nicht sehr lange, am Do. 29. Mai (nach 7 Tagen) crashte der Webserver wieder mit den 100% gleichen NSD-Meldungen wie unter 7.0.2 der mit dem Fixpack behoben sein soll(te).

Also wieder einen PMR aufgemacht (29. Mai 15:59) mit Prio 1, Rückruf schon nach einer Stunde IBM (Dublin) stuft PRM noch höher "24/7".

Dublin hält mich auf dem laufenden, dass im "Labor in USA" schon daran gearbeitet wird, nun kommen die Mails direkt aus USA:

30.Mai 17:15
"... I have reviewed 703FP1HF79.  It seems that the installer did not pick up
the Notes.jar file.  I will need to rebuild this fix. ..."

31. Mai 17:17 Uhr
"Hotfix 703FP1HF101 has been posted for download at ftp:..."

Dann nur noch den nutzlosen HF79 "reverten" und den HF101 installieren, zuerst in der Testumgebung und alle Web- und Intranetfunktionen (an)testen.
Dann noch das selbe für den Liveserver und "schon" sind wir fertig.

Mal sehen wie lange der HF "durchhält".

Gruß Werner
Noch ein schönes und ruhiges Wochenende.
PS: ich brauche nun "einige Mützen Schlaf"

« Letzte Änderung: 31.05.08 - 21:15:18 von WernerMo »
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz