Autor Thema: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4  (Gelesen 24067 mal)

Offline Günther Rupitz

  • Senior Mitglied
  • ****
  • Beiträge: 362
  • Geschlecht: Männlich
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #20 am: 07.05.13 - 09:45:18 »
die Applets werden nicht ausgeführt, es sein denn sie sind von dir signiert!

Also das stimmt definitiv nicht.
Das heise-Applet wird ausgeführt auch wenn unter den Sicherheitseinstellungen unter "nicht Signiert" keine Erlaubnis gesetzt wird.

Es werden nur gewisse Aktionen wie Zugriff auf Dateisystem nicht zugelassen (hoffentlich halt auch wirklich).

lg Günther

Offline pram

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.170
  • Geschlecht: Männlich
    • Foconis Object Framework
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #21 am: 07.05.13 - 11:43:56 »
Genau das habe ich auch festgestellt - Applet wird immer ausgeführt, ich wüsste nicht, dass ich es signiert hätte

Zitat
Es werden nur gewisse Aktionen wie Zugriff auf Dateisystem nicht zugelassen (hoffentlich halt auch wirklich).

und nach den Sicherheitslücken die in den alten Java-Versionen gefunden wurden (Umgehung des Security Managers) möchte ich meine Hand dafür nicht gerade ins Feuer legen.
(Ja ich weiß, IBM verwendet einen anderen Security-Manager als Oracle, aber ob hier IBM wirklich besser programmiert hat....)

Gruß
Roland
Roland Praml

IBM Certified Application Developer - Lotus Notes and Domino 8
Ich verwende das Foconis Object Framework

Offline Günther Rupitz

  • Senior Mitglied
  • ****
  • Beiträge: 362
  • Geschlecht: Männlich
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #22 am: 07.05.13 - 11:54:24 »
Also ich habe unser Mailgateway umkonfiguriert damit eingehende Emails mit Java-Applet in die Quarantäne wandern damit ich mir die mal ansehen kann.

8.5.3 FP4 IF1 kann ich bei uns nicht ausrollen da mir 8.5.3 FP4 die Client Access Installation zusammenschießt (mittlerweile hab ich von der IBM die Bestätigung dass es sich hierbei um ein bekanntes, aber ungelöstes Problem handelt).

lg günther

Offline halle

  • Junior Mitglied
  • **
  • Beiträge: 69
  • Geschlecht: Männlich
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #23 am: 07.05.13 - 12:22:41 »
Stimmt, da hab ich mich geirrt!

 ???

Offline Ralf_M_Petter

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.879
  • Geschlecht: Männlich
  • Jeder ist seines eigenen Glückes Schmied
    • Ralf's Blog
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #24 am: 07.05.13 - 12:52:55 »
@Günther!

Was ist den der APAR für das Problem mit dem Client Access in Zusammenspiel mit Notes. Wir verwenden nämlich auch beides und da wüsste ich gerne vorher welches Problem zu erwarten wäre.

Danke.

Ralf
Jede Menge Tipps und Tricks zu IT Themen findet Ihr auf meinem Blog  Everything about IT  Eine wahre Schatzkiste sind aber sicher die Beiträge zu meinem Lieblingsthema Tipps und Tricks zu IBM Notes/Domino Schaut doch einfach mal rein.

Offline Günther Rupitz

  • Senior Mitglied
  • ****
  • Beiträge: 362
  • Geschlecht: Männlich
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #25 am: 07.05.13 - 17:51:54 »
Was ist den der APAR für das Problem mit dem Client Access in Zusammenspiel mit Notes. Wir verwenden nämlich auch beides und da wüsste ich gerne vorher welches Problem zu erwarten wäre.

APAR hab ich noch keinen dazu bekommen.
Das Problem tritt bei uns unter Windows 7 auf (XP ist nicht betroffen).
Client Access lässt sich danach nicht mehr starten, aus eine komplette deinstallation und neu-installation der betroffenen Programme (CA, Lotus Notes c++ Redistributable) bringt keine besserung.

Wenn du also ein Update planst vorher auf Testrechnern ausprobieren.

IBM hat noch nicht herausfinden können woran das liegt.

Driri

  • Gast
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #26 am: 08.05.13 - 09:40:29 »
Hmm, interessant. Bei mir funktioniert seit ca. 2 Wochen CTI nicht mehr, wir haben da schon einiges versucht. Ungefähr zur selben Zeit habe ich das FP4 bei mir am Client installiert.

Danke für den Hinweis  :)

Offline omega

  • Aktives Mitglied
  • ***
  • Beiträge: 121
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #27 am: 08.05.13 - 15:43:34 »
Also FP4 zerschiesst bei uns den Citrix-Client.

Das lässt sich aber durch Neuinstallation der Visual C++ Runtime   (2005  oder 8.0) leicht beheben.

Offline Micha B

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.922
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #28 am: 08.05.13 - 15:58:17 »
Nachträglich? Oder installierst Du Notes neu?

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #29 am: 08.05.13 - 16:14:39 »
Hallo Leute,

etwas spät, aber vielleicht gut zu wissen:
Das wir die ini Parameter nicht setzen können (wird bei 500 Usern benötigt) und auch unsere Erfahrungen gezeigt haben, dass die ECL nicht greift, suche ich seit Montag bei allen eingehenden Mails mit dem Spanfilter nach den Strings <applet> und /applet> und filtere diese Mails raus.

Die Heise Mail wird so erst gar nicht zu gestellt.
Tatsächlich ist heute die erste Mail mit einem Applet eingegangen ( aus Kora :-P)
Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

Offline mezz

  • Junior Mitglied
  • **
  • Beiträge: 69
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #30 am: 10.05.13 - 09:35:44 »
Hallo Leute,

etwas spät, aber vielleicht gut zu wissen:
Das wir die ini Parameter nicht setzen können (wird bei 500 Usern benötigt) und auch unsere Erfahrungen gezeigt haben, dass die ECL nicht greift, suche ich seit Montag bei allen eingehenden Mails mit dem Spanfilter nach den Strings <applet> und /applet> und filtere diese Mails raus.

Du bist dir aber schon im Klaren darüber, dass ein einfaches Filtern der Applet-Tags nicht viel bringt oder?

perl -e 's,,q#$:%*?:!&=(:!>@.#.$/,e;y;!-./:-@[-]{-~; a-uJP;;print;'

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #31 am: 10.05.13 - 10:08:46 »
Ich geb ja zu, das ich von Programmierung nicht viel Ahnung habe, aber wie soll Notes ein Applet ausführen, wenn es nich der korrekten Syntax entspricht?

Von daher währe es schon nicht schlecht, wenn Du ein bisschen genauer sein würdest...
Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

Offline Günther Rupitz

  • Senior Mitglied
  • ****
  • Beiträge: 362
  • Geschlecht: Männlich
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #32 am: 10.05.13 - 10:56:05 »
Also ich habe ein Problem damit Javascript überall einfach abzudrehen.
Und das Update kann ich ja auch nicht einspielen da mit FP4 bei uns andere Programme crashen.

Sollte das Problem eigentlich nicht damit eingeschränkt sein dass man in der Arbeitsumgebung die Ausführung von
Applets auf vertrauenswürdige Hosts beschränkt?

Offline wfh

  • Senior Mitglied
  • ****
  • Beiträge: 318
  • Geschlecht: Männlich
  • Memento rebus in arduis servare mentem!
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #33 am: 10.05.13 - 13:58:21 »
Ich liege momentan auch mit IBM-Hotline im Clinch wegen der Geschichte. Eine schnelle Installation geht auch bei uns nicht  ;D

Das Problem ist die ECL und die Interpretation von Javascript. Für die ECL ist Javascript nach dem aktuellen Stand immer "no signature". Es ist dabei egal, ob Javascript in Design-Element enthalten oder im Body-Feld einer Mail ist.

Offline cg-home

  • Aktives Mitglied
  • ***
  • Beiträge: 172
  • Geschlecht: Männlich
  • atnotes = Retter in der Not
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #34 am: 12.05.13 - 13:28:23 »
Wir können die drei Notes.ini Parameter auch nicht verwenden, da dann unser CRM nicht mehr geht.
Eine "schnelle" Installation auf eine der Versione mit IF geht bei uns leider auch nicht.
Unser CRM-Anbieter hat gemeint, dass die beiden Notes.ini Parameter
  EnableJavaApplets=0
  EnableLiveConnect=0
auch langen. dann geht unser CRM noch und die Sicherheitslücke ist dennoch "geschlossen".
Das habe ich auch an IBM gemeldet zur Prüfung. Bisher keine Antwort dazu.

Auch habe ich bei IBM angefragt, ob es für andere Version auch ein IF geben wird.
Sie wollten alle Version wissen die wir nutzen und für welche wir es bräuchten.
Folgende drei haben wir gemeldet:
R8.5.2 FP2 Basic (für unser Citrix)
R8.5.2 FP4 Basic
R8.5.2 FP4 Standard
Bin schon gespannt was dabei heraus kommt.
Was ich schon als Rückmeldung von IBM bekommen habe, ist das es für Basic nicht notwendig
ist, da dort die Sicherheitslücke nicht existiert da Basic in "C" geschrieben ist.
Ich habe dann gefragt warum es dann für R8.5.3FP4 Basic ein IF dazu gibt, habe aber bisher keine
Antwort bekommen.

Gruß Christian
11     Server R11.0.1FP3 - Windows Server 2012R2
700   Clients R11.0.1FP3 - Windows Server 2012R2 über Citrix
Traveler R11 | PowerTools 14 | Ytria | DomNavigator

Offline Micha B

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.922
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #35 am: 12.05.13 - 20:15:53 »
Zitat
Auch habe ich bei IBM angefragt, ob es für andere Version auch ein IF geben wird.
Da sie bisher keins dafür anbieten, denke ich, wird es auch keine weiter geben. Für Versionen ohne FP soll man ja die Notes.ini Parameter setzen.

Offline Günther Rupitz

  • Senior Mitglied
  • ****
  • Beiträge: 362
  • Geschlecht: Männlich
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #36 am: 13.05.13 - 08:20:44 »
Was ist den der APAR für das Problem mit dem Client Access in Zusammenspiel mit Notes. Wir verwenden nämlich auch beides und da wüsste ich gerne vorher welches Problem zu erwarten wäre.

Inzwischen gibts eine offizielle Fehlerbeschreibung, ich teste gerade ob es unser Problem löst:

http://www-01.ibm.com/support/docview.wss?uid=swg21637068&myns=swglotus&mynp=OCSSKTWP&mync=E

Offline omega

  • Aktives Mitglied
  • ***
  • Beiträge: 121
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #37 am: 13.05.13 - 09:07:53 »
Zitat

Inzwischen gibts eine offizielle Fehlerbeschreibung, ich teste gerade ob es unser Problem löst:

http://www-01.ibm.com/support/docview.wss?uid=swg21637068&myns=swglotus&mynp=OCSSKTWP&mync=E

Ich bezweifle, dass der Link von IBM besonders geschickt ist.
Die OriginalRuntime von 2006 ist ein wenig alt und funktioniert nicht mit allen Programmen.

Offline mezz

  • Junior Mitglied
  • **
  • Beiträge: 69
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #38 am: 13.05.13 - 09:19:10 »
Zitat von: hallo.dirk
Ich geb ja zu, das ich von Programmierung nicht viel Ahnung habe, aber wie soll Notes ein Applet ausführen, wenn es nich der korrekten Syntax entspricht?

Von daher währe es schon nicht schlecht, wenn Du ein bisschen genauer sein würdest...

Das Problem ist das es hier um zwei Sicherheitslücken geht, zum einen CVE-2013-0127 das ist die Lücke über die hier so heiß diskutiert wird.
Ausserdem gibt es keine Garantie das dein Zeichenkettenfilter nicht einfach unterlaufen wird, im einfachsten Fall reichen z.b. einfach ein paar Whitespaces in das <applet>-Tag und schon wird es nicht mehr gefiltert aber ist noch "gültiges" HTML.

Zitat von: cg-home
Wir können die drei Notes.ini Parameter auch nicht verwenden, da dann unser CRM nicht mehr geht.
Eine "schnelle" Installation auf eine der Versione mit IF geht bei uns leider auch nicht.
Unser CRM-Anbieter hat gemeint, dass die beiden Notes.ini Parameter
  EnableJavaApplets=0
  EnableLiveConnect=0
auch langen. dann geht unser CRM noch und die Sicherheitslücke ist dennoch "geschlossen".

Das bezieht sich auf CVE-2013-0127, ist auch soweit korrekt. Was hier aber übersehen wird ist das IBM hingegangen ist und ein Advisory für zwei Sicherheitslücken veröffentlicht hat - wohl weil beides miteinander zusammenhängt. Die zweite Sicherheitslücke CVE-2013-0538 ist hier eine Javascript-Injection über die ebenfalls potenzieller Schadcode eingeschleust werden kann.

Wenn ihr also nur Java ausknippst hilft das nicht wirklich viel weiter!


perl -e 's,,q#$:%*?:!&=(:!>@.#.$/,e;y;!-./:-@[-]{-~; a-uJP;;print;'

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Re: CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4
« Antwort #39 am: 13.05.13 - 13:11:42 »
Zitat von: hallo.dirk
Ich geb ja zu, das ich von Programmierung nicht viel Ahnung habe, aber wie soll Notes ein Applet ausführen, wenn es nich der korrekten Syntax entspricht?

Von daher währe es schon nicht schlecht, wenn Du ein bisschen genauer sein würdest...
Das Problem ist das es hier um zwei Sicherheitslücken geht, zum einen CVE-2013-0127 das ist die Lücke über die hier so heiß diskutiert wird.
Ausserdem gibt es keine Garantie das dein Zeichenkettenfilter nicht einfach unterlaufen wird, im einfachsten Fall reichen z.b. einfach ein paar Whitespaces in das <applet>-Tag und schon wird es nicht mehr gefiltert aber ist noch "gültiges" HTML.

So ganz locker kann immer noch nicht lassen:

Zunächst einmal muss ich mich in sofern korrigieren, als dass ich auf die Kombination <applet und applet> achte.
Vielleicht hilft das ja schon zur Erklärung.
Trotzdem habe ich eben mal ein bisschen recherchiert und bin der Meinung, dass <Leerzeichenapplet oder Leerzeichenapplet> nicht mehr sauber erkannt werden kann, zumindest laut Definition von w3.org.
Also dürfte hier nichts anbrennen...

Nun kann man ja wohl auch etwas anderes als  UTF 8 / ASCII nehmen um Zeichen zu umschreiben.
Aber selbst bei UTF-32 sind die Spitze Klammer und die lateinischen Zeichen an der gleiche Stelle.

Bliebe noch zu klären was passiert wenn man in HTML code in hex. schreiben würde, geht das überhaupt?
Würden dieses alle gängigen Clients unterstützen?

Was habe ich übersehen?


Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz