Domino 9 und frühere Versionen > ND8: Administration & Userprobleme

CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4

<< < (7/10) > >>

mezz:

--- Zitat von: hallo.dirk am 08.05.13 - 16:14:39 ---Hallo Leute,

etwas spät, aber vielleicht gut zu wissen:
Das wir die ini Parameter nicht setzen können (wird bei 500 Usern benötigt) und auch unsere Erfahrungen gezeigt haben, dass die ECL nicht greift, suche ich seit Montag bei allen eingehenden Mails mit dem Spanfilter nach den Strings <applet> und /applet> und filtere diese Mails raus.

--- Ende Zitat ---

Du bist dir aber schon im Klaren darüber, dass ein einfaches Filtern der Applet-Tags nicht viel bringt oder?

hallo.dirk:
Ich geb ja zu, das ich von Programmierung nicht viel Ahnung habe, aber wie soll Notes ein Applet ausführen, wenn es nich der korrekten Syntax entspricht?

Von daher währe es schon nicht schlecht, wenn Du ein bisschen genauer sein würdest...

Günther Rupitz:
Also ich habe ein Problem damit Javascript überall einfach abzudrehen.
Und das Update kann ich ja auch nicht einspielen da mit FP4 bei uns andere Programme crashen.

Sollte das Problem eigentlich nicht damit eingeschränkt sein dass man in der Arbeitsumgebung die Ausführung von
Applets auf vertrauenswürdige Hosts beschränkt?

wfh:
Ich liege momentan auch mit IBM-Hotline im Clinch wegen der Geschichte. Eine schnelle Installation geht auch bei uns nicht  ;D

Das Problem ist die ECL und die Interpretation von Javascript. Für die ECL ist Javascript nach dem aktuellen Stand immer "no signature". Es ist dabei egal, ob Javascript in Design-Element enthalten oder im Body-Feld einer Mail ist.

cg-home:
Wir können die drei Notes.ini Parameter auch nicht verwenden, da dann unser CRM nicht mehr geht.
Eine "schnelle" Installation auf eine der Versione mit IF geht bei uns leider auch nicht.
Unser CRM-Anbieter hat gemeint, dass die beiden Notes.ini Parameter
  EnableJavaApplets=0
  EnableLiveConnect=0
auch langen. dann geht unser CRM noch und die Sicherheitslücke ist dennoch "geschlossen".
Das habe ich auch an IBM gemeldet zur Prüfung. Bisher keine Antwort dazu.

Auch habe ich bei IBM angefragt, ob es für andere Version auch ein IF geben wird.
Sie wollten alle Version wissen die wir nutzen und für welche wir es bräuchten.
Folgende drei haben wir gemeldet:
R8.5.2 FP2 Basic (für unser Citrix)
R8.5.2 FP4 Basic
R8.5.2 FP4 Standard
Bin schon gespannt was dabei heraus kommt.
Was ich schon als Rückmeldung von IBM bekommen habe, ist das es für Basic nicht notwendig
ist, da dort die Sicherheitslücke nicht existiert da Basic in "C" geschrieben ist.
Ich habe dann gefragt warum es dann für R8.5.3FP4 Basic ein IF dazu gibt, habe aber bisher keine
Antwort bekommen.

Gruß Christian

Navigation

[0] Themen-Index

[#] Nächste Seite

[*] Vorherige Sete

Zur normalen Ansicht wechseln