CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4

[Günther Rupitz]

die Applets werden nicht ausgeführt, es sein denn sie sind von dir signiert!

Also das stimmt definitiv nicht.
Das heise-Applet wird ausgeführt auch wenn unter den Sicherheitseinstellungen unter "nicht Signiert" keine Erlaubnis gesetzt wird.

Es werden nur gewisse Aktionen wie Zugriff auf Dateisystem nicht zugelassen (hoffentlich halt auch wirklich).

lg Günther

[pram]

Genau das habe ich auch festgestellt - Applet wird immer ausgeführt, ich wüsste nicht, dass ich es signiert hätte

Es werden nur gewisse Aktionen wie Zugriff auf Dateisystem nicht zugelassen (hoffentlich halt auch wirklich).

und nach den Sicherheitslücken die in den alten Java-Versionen gefunden wurden (Umgehung des Security Managers) möchte ich meine Hand dafür nicht gerade ins Feuer legen.
(Ja ich weiß, IBM verwendet einen anderen Security-Manager als Oracle, aber ob hier IBM wirklich besser programmiert hat....)

Gruß
Roland

[Günther Rupitz]

Also ich habe unser Mailgateway umkonfiguriert damit eingehende Emails mit Java-Applet in die Quarantäne wandern damit ich mir die mal ansehen kann.

8.5.3 FP4 IF1 kann ich bei uns nicht ausrollen da mir 8.5.3 FP4 die Client Access Installation zusammenschießt (mittlerweile hab ich von der IBM die Bestätigung dass es sich hierbei um ein bekanntes, aber ungelöstes Problem handelt).

lg günther

[halle]

Stimmt, da hab ich mich geirrt!

 

[Ralf_M_Petter]

@Günther!

Was ist den der APAR für das Problem mit dem Client Access in Zusammenspiel mit Notes. Wir verwenden nämlich auch beides und da wüsste ich gerne vorher welches Problem zu erwarten wäre.

Danke.

Ralf

[Günther Rupitz]

Was ist den der APAR für das Problem mit dem Client Access in Zusammenspiel mit Notes. Wir verwenden nämlich auch beides und da wüsste ich gerne vorher welches Problem zu erwarten wäre.

APAR hab ich noch keinen dazu bekommen.
Das Problem tritt bei uns unter Windows 7 auf (XP ist nicht betroffen).
Client Access lässt sich danach nicht mehr starten, aus eine komplette deinstallation und neu-installation der betroffenen Programme (CA, Lotus Notes c++ Redistributable) bringt keine besserung.

Wenn du also ein Update planst vorher auf Testrechnern ausprobieren.

IBM hat noch nicht herausfinden können woran das liegt.

[Driri]

Hmm, interessant. Bei mir funktioniert seit ca. 2 Wochen CTI nicht mehr, wir haben da schon einiges versucht. Ungefähr zur selben Zeit habe ich das FP4 bei mir am Client installiert.

Danke für den Hinweis 

[omega]

Also FP4 zerschiesst bei uns den Citrix-Client.

Das lässt sich aber durch Neuinstallation der Visual C++ Runtime   (2005  oder 8.0) leicht beheben.

[Micha B]

Nachträglich? Oder installierst Du Notes neu?

[hallo.dirk]

Hallo Leute,

etwas spät, aber vielleicht gut zu wissen:
Das wir die ini Parameter nicht setzen können (wird bei 500 Usern benötigt) und auch unsere Erfahrungen gezeigt haben, dass die ECL nicht greift, suche ich seit Montag bei allen eingehenden Mails mit dem Spanfilter nach den Strings <applet> und /applet> und filtere diese Mails raus.

Die Heise Mail wird so erst gar nicht zu gestellt.
Tatsächlich ist heute die erste Mail mit einem Applet eingegangen ( aus Kora )

[mezz]

Hallo Leute,

etwas spät, aber vielleicht gut zu wissen:
Das wir die ini Parameter nicht setzen können (wird bei 500 Usern benötigt) und auch unsere Erfahrungen gezeigt haben, dass die ECL nicht greift, suche ich seit Montag bei allen eingehenden Mails mit dem Spanfilter nach den Strings <applet> und /applet> und filtere diese Mails raus.

Du bist dir aber schon im Klaren darüber, dass ein einfaches Filtern der Applet-Tags nicht viel bringt oder?

[hallo.dirk]

Ich geb ja zu, das ich von Programmierung nicht viel Ahnung habe, aber wie soll Notes ein Applet ausführen, wenn es nich der korrekten Syntax entspricht?

Von daher währe es schon nicht schlecht, wenn Du ein bisschen genauer sein würdest...

[Günther Rupitz]

Also ich habe ein Problem damit Javascript überall einfach abzudrehen.
Und das Update kann ich ja auch nicht einspielen da mit FP4 bei uns andere Programme crashen.

Sollte das Problem eigentlich nicht damit eingeschränkt sein dass man in der Arbeitsumgebung die Ausführung von
Applets auf vertrauenswürdige Hosts beschränkt?

[wfh]

Ich liege momentan auch mit IBM-Hotline im Clinch wegen der Geschichte. Eine schnelle Installation geht auch bei uns nicht 

Das Problem ist die ECL und die Interpretation von Javascript. Für die ECL ist Javascript nach dem aktuellen Stand immer "no signature". Es ist dabei egal, ob Javascript in Design-Element enthalten oder im Body-Feld einer Mail ist.

[cg-home]

Wir können die drei Notes.ini Parameter auch nicht verwenden, da dann unser CRM nicht mehr geht.
Eine "schnelle" Installation auf eine der Versione mit IF geht bei uns leider auch nicht.
Unser CRM-Anbieter hat gemeint, dass die beiden Notes.ini Parameter
  EnableJavaApplets=0
  EnableLiveConnect=0
auch langen. dann geht unser CRM noch und die Sicherheitslücke ist dennoch "geschlossen".
Das habe ich auch an IBM gemeldet zur Prüfung. Bisher keine Antwort dazu.

Auch habe ich bei IBM angefragt, ob es für andere Version auch ein IF geben wird.
Sie wollten alle Version wissen die wir nutzen und für welche wir es bräuchten.
Folgende drei haben wir gemeldet:
R8.5.2 FP2 Basic (für unser Citrix)
R8.5.2 FP4 Basic
R8.5.2 FP4 Standard
Bin schon gespannt was dabei heraus kommt.
Was ich schon als Rückmeldung von IBM bekommen habe, ist das es für Basic nicht notwendig
ist, da dort die Sicherheitslücke nicht existiert da Basic in "C" geschrieben ist.
Ich habe dann gefragt warum es dann für R8.5.3FP4 Basic ein IF dazu gibt, habe aber bisher keine
Antwort bekommen.

Gruß Christian

[Micha B]

Auch habe ich bei IBM angefragt, ob es für andere Version auch ein IF geben wird.

Da sie bisher keins dafür anbieten, denke ich, wird es auch keine weiter geben. Für Versionen ohne FP soll man ja die Notes.ini Parameter setzen.

[Günther Rupitz]

Was ist den der APAR für das Problem mit dem Client Access in Zusammenspiel mit Notes. Wir verwenden nämlich auch beides und da wüsste ich gerne vorher welches Problem zu erwarten wäre.

Inzwischen gibts eine offizielle Fehlerbeschreibung, ich teste gerade ob es unser Problem löst:

http://www-01.ibm.com/support/docview.wss?uid=swg21637068&myns=swglotus&mynp=OCSSKTWP&mync=E

[omega]

Inzwischen gibts eine offizielle Fehlerbeschreibung, ich teste gerade ob es unser Problem löst:

http://www-01.ibm.com/support/docview.wss?uid=swg21637068&myns=swglotus&mynp=OCSSKTWP&mync=E

Ich bezweifle, dass der Link von IBM besonders geschickt ist.
Die OriginalRuntime von 2006 ist ein wenig alt und funktioniert nicht mit allen Programmen.

[mezz]

Ich geb ja zu, das ich von Programmierung nicht viel Ahnung habe, aber wie soll Notes ein Applet ausführen, wenn es nich der korrekten Syntax entspricht?

Von daher währe es schon nicht schlecht, wenn Du ein bisschen genauer sein würdest...

Das Problem ist das es hier um zwei Sicherheitslücken geht, zum einen CVE-2013-0127 das ist die Lücke über die hier so heiß diskutiert wird.
Ausserdem gibt es keine Garantie das dein Zeichenkettenfilter nicht einfach unterlaufen wird, im einfachsten Fall reichen z.b. einfach ein paar Whitespaces in das <applet>-Tag und schon wird es nicht mehr gefiltert aber ist noch "gültiges" HTML.

Wir können die drei Notes.ini Parameter auch nicht verwenden, da dann unser CRM nicht mehr geht.
Eine "schnelle" Installation auf eine der Versione mit IF geht bei uns leider auch nicht.
Unser CRM-Anbieter hat gemeint, dass die beiden Notes.ini Parameter
  EnableJavaApplets=0
  EnableLiveConnect=0
auch langen. dann geht unser CRM noch und die Sicherheitslücke ist dennoch "geschlossen".

Das bezieht sich auf CVE-2013-0127, ist auch soweit korrekt. Was hier aber übersehen wird ist das IBM hingegangen ist und ein Advisory für zwei Sicherheitslücken veröffentlicht hat - wohl weil beides miteinander zusammenhängt. Die zweite Sicherheitslücke CVE-2013-0538 ist hier eine Javascript-Injection über die ebenfalls potenzieller Schadcode eingeschleust werden kann.

Wenn ihr also nur Java ausknippst hilft das nicht wirklich viel weiter!

[hallo.dirk]

Ich geb ja zu, das ich von Programmierung nicht viel Ahnung habe, aber wie soll Notes ein Applet ausführen, wenn es nich der korrekten Syntax entspricht?

Von daher währe es schon nicht schlecht, wenn Du ein bisschen genauer sein würdest...

Das Problem ist das es hier um zwei Sicherheitslücken geht, zum einen CVE-2013-0127 das ist die Lücke über die hier so heiß diskutiert wird.
Ausserdem gibt es keine Garantie das dein Zeichenkettenfilter nicht einfach unterlaufen wird, im einfachsten Fall reichen z.b. einfach ein paar Whitespaces in das <applet>-Tag und schon wird es nicht mehr gefiltert aber ist noch "gültiges" HTML.

So ganz locker kann immer noch nicht lassen:

Zunächst einmal muss ich mich in sofern korrigieren, als dass ich auf die Kombination <applet und applet> achte.
Vielleicht hilft das ja schon zur Erklärung.
Trotzdem habe ich eben mal ein bisschen recherchiert und bin der Meinung, dass <Leerzeichenapplet oder Leerzeichenapplet> nicht mehr sauber erkannt werden kann, zumindest laut Definition von w3.org.
Also dürfte hier nichts anbrennen...

Nun kann man ja wohl auch etwas anderes als  UTF 8 / ASCII nehmen um Zeichen zu umschreiben.
Aber selbst bei UTF-32 sind die Spitze Klammer und die lateinischen Zeichen an der gleiche Stelle.

Bliebe noch zu klären was passiert wenn man in HTML code in hex. schreiben würde, geht das überhaupt?
Würden dieses alle gängigen Clients unterstützen?

Was habe ich übersehen?