SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?

[shiraz]

Hallo Jungs & Mädels,

was macht Ihr gegen POODLE Bites- Problem bei Domino-Server. https://www.openssl.org/~bodo/ssl-poodle.pdf

Wir haben bis jetzt keine Lösung/Update von IBM für Domino gefunden.

Wenn es bald keine Lösung von IBM kommt, ist eine Umstieg unvermeidbar !!!!

Unser Kunde schreibt:

Unsere Internetzugänge sind so konfiguriert, dass sich unsere Systeme nicht dieser Verwundbarkeit aussetzen können.

[koehlerbv]

Du weisst aber schon, wovon Du hier sprichst, oder? Und wie in dieser Sache vergleichbare Hersteller ebenso wie die IBM derartige Probleme näher an der Ursache anpacken, um dafür nicht spezialisierte Server sicherer ("absolut sicher" gibt es ja in Bezug auf Kriminalität nie) zu machen? Du weisst, was Ihr so oder so kaufen bzw. zum Kauf empfehlen müsst?

Wenn Ihr die Systeme Eurer Kunden nicht gegen die zahlreichen Bösewichter alleine absichern könnt, dann holt Euch Hilfe (IBM wäre ein Ansprechpartner, durchaus naheliegend, aber es gibt wie für de facto alle anderen Mitbewerber auch genug Alternativen). Ein Drei-Zeilen-Gegrummel im Forum hilft Euch da nicht wirklich weiter, das ist eher kontraproduktiv.

Bernhard

[shiraz]

Lieber Bernhard,

wir sind ein Dienstleister und wir können uns leider manche Sachen nicht leisten. Kunde ist König!
Ich denke das Problem betrifft viele Firmen:

http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?action=openDocument&documentId=026BD2D47421025985257D7200452B47.


http://www.thenorth.com/apblog4.nsf/0/5E95BCBA042F5CB185257D73005446F7

[stoeps]

Moin,

ja der Kunde ist König, geb ich dir Recht. Also brauchst du entsprechendes Knowhow um die Systeme sicher zu bekommen.

Mal ehrlich: wer von uns hat noch seine Dominos direkt im Internet hängen?

Ich sehe im Moment folgende Möglichkeiten, solange IBM kein Update bringt:

a) vorgelagerte Appliance für SMTP (Ironport, Lotus Protector)
b) Reverse Proxy
c) IHS mit dem mod_domino (nur Windows)

Wobei mir die ganzen Geschichten die nur HTTP lösen für den A... sind.

Als ganz gute Option sehe ich:
a) nginx (Reverse Proxy für http, smtp, pop3 und imap)
b) Firewall mit entsprechenden Modulen (viele FW bieten die Möglichkeit sie als SMTP oder sonstige Proxies zu konfigurieren)

Panik hilft nicht, sondern nur entsprechendes Knowhow in Netzwerk, Firewall und entsprechenden Protokollen.

Just my 2 cents

[koehlerbv]

Just my 2 cents

But worth a million!

Bernhard

[(h)uMan]

a) vorgelagerte Appliance für SMTP (Ironport, Lotus Protector)
b) Reverse Proxy

Kann Lotus Protector denn mit SHA-2, TLS und aktuelle Ciphersuites umgehen?
Wir z. B. müssen den Mailverkehr zu einigen externen Partner mit s/mime verschlüsseln. Das ist derzeit mit von der Domino CA ausgestellten Internetzertifikaten nicht (mehr) möglich.

Als ganz gute Option sehe ich:
a) nginx (Reverse Proxy für http, smtp, pop3 und imap)

Hat jemand nginx als Reverse Proxy mit transparenten Failover & Loadbalancing für HTTPs & IMAPs Verbindungen im Einsatz und kann Erfahrungen und Tipps mitteilen? Der nginx Proxy sollte dabei auch mit transparenten Failover laufen (Cluster)

[datenbanken24]

shiraz hat schon recht. Das ist unfaßbar.

IBM schwadroniert seit Monaten von der Cloud.
Cloud! Cloud! Cloud! Blub. Blub. Blub.

Mindestens genau so lange weisen tausende Kunden unermüdlich darauf hin,
dass die SSL Optionen im Domino Server dringend aktualisiert werden müssen.
Das ist tiefstes Mittelalter, was da zur Auswahl angeboten wird.

Wer heute Zertifikate bestellt, z.B. bei comodo, bekommt schon gar kein SHA-1 mehr.
Nur nach langen Ausnahmeverhandlungen.

Ob es IBM technisch nicht hinbekommt oder einfach nur schläft oder gar die NSA ein Update nicht erlaubt, sei dahingestellt.
Aber SHA-2 ist nun mal Standard.

Auf der einen Seite stellen Kunden und Hersteller derzeit logischerweise massiv Ihre Browser um -
andererseits kann der IBM Server das einfach nicht liefern.
Als Cloud-Provider steckt man dazwischen in der Klemme.

IBM blubbert die üblichen Phrasen anstatt schnell und professionell zu reagieren und zu handeln.

Cloud ist nicht nur Marketing und Vertrieb - Cloud ist Technik und Innovation.

Es herrscht hier dringendster Handlungsbedarf seitens IBM.

Das Problem aller Workarounds - und damit auch der oben beschrieben - ist,
dass man damit zwar ein Problem löst - aber sich meist 20 neue einfängt.

Jeder, wirklich jeder, der einen IBM Supportvertrag hat,
sollte sofort einen Call diesbezüglich aufmachen und Druck aufbauen.
Hier herrscht extremster Handlungsbedarf.

Gruß,
Uwe

[hallo.dirk]

Mal ehrlich: wer von uns hat noch seine Dominos direkt im Internet hängen?

Dann will ich mal eine Lanze brechen:
Hier ich!
Für eine public Notes Applikation, die aber Eingaben der Anwender erfasst.
Es hat bisher keinen Sinn gemacht, etwas davor zu schalten.

Hier ist aber weniger die Sicherheit ein Problem sondern die Tatsache, dass man nun anfängt in Browsern und das Fallback auf 3.0 ab zu stellen. Damit ist die Applikation (Domino) nicht mehr nutzbar....

Weiterhin verstehe ich das ja so, dass ein Angriff nur mit Beteiligung des Browsers geschehen kann, dass würde die anderen Domino Protokolle (SMTP, IMAP etc) von einem Angriffsszenario zunächst ausschließen.

Das für mich Erschreckende ist aber die Tatsache, dass es schon seit Jahren bei IBM bekannt ist und nichts dagegen unternommen wird.

[datenbanken24]

... obwohl immer und immer und immer wieder darauf hin gewiesen wird...

eg.:

The only people who can get this done are big IBM Domino customers. Since this doesn't have a direct net positive effect on EPS (Earnings Per Share) for 2016, nothing is going to get done on it as long as they keep having the excuse that "our customers aren't telling us they need this".

 Start telling them. Loudly. Repeatedly. If you're a large enough customer that you negotiate licensing, make it a condition of license renewal.


Original:
http://www.thenorth.com/apblog4.nsf/0/236121854727AE5885257D560053631E


Wir haben daraufhin erst letzten Monat alle unsere SSL Zertifikate auf ein kürzeres Enddatum "abschneiden lassen". Verrückt, aufwendig und sehr teuer. Aber eben notwendig. Und gut für den Aktienwert von IBM, wenn andere für die Fehler bezahlen...

Für die SHA-2 Problematik (nicht POODLE) könnte es einen Workaround geben, wir testen diesen gerade.

http://blog.darrenduke.net/Darren/DDBZ.nsf/dx/so-domino-and-sha2.....theres-a-spr-for-that.htm?opendocument&comments

Gruß,
Uwe

[shiraz]

http://www.wiseman.la/web/cpwblog.nsf/dx/repost-ibm...-please-update-dominos-ssltls.-its-stuck-in-ancient-times-and-vulnerable..htm?opendocument&comments

[(h)uMan]

siehe http://atnotes.de/index.php/topic,58068.0.html

[Mr.Langhaar]

Hallo,

<Mal ehrlich: wer von uns hat noch seine Dominos direkt im Internet hängen?
<
<Ich sehe im Moment folgende Möglichkeiten, solange IBM kein Update bringt:
<
<a) vorgelagerte Appliance für SMTP (Ironport, Lotus Protector)
<b) Reverse Proxy
<c) IHS mit dem mod_domino (nur Windows)

wir nutzen den IHS für unseren Traveler, damit ist ja ssl v3 schnell abgeschaltet.
Allerdings hab ich zum Thema Perfect Forward Security leider nichts gefunden, wie ich das einschalten könnte.
Hat das einer von euch am laufen ?

Gruß
Thomas

[flaite]

https://access.redhat.com/solutions/1232233

kein Wort zu viel. 

[Tode]

Was lange währt wird endlich gut: IBM erhört offensichtlich die lauten Rufe:

SHA-2 support for Domino 9.x is planned to be delivered over the next several weeks via an Interim Fix.

Und gegen den Poodle:

IBM will provide Interim Fixes for the following Domino releases:
9.0.1 Fix Pack 2
9.0
8.5.3 Fix Pack 6
8.5.2 Fix Pack 4
8.5.1 Fix Pack 5

[Micha B]

Zum nachlesen:
http://www-01.ibm.com/support/docview.wss?uid=swg21687167
http://www-01.ibm.com/support/docview.wss?uid=swg21418982

[shiraz]

Es scheint, dass das Drei-Zeilen-Gegrummel von Kunden geholfen hat. Das Problem ist seit langem Bekannt und IBM hat nur reagiert weil die Gegrummele so laut und stark war.

Jetzt warten wir "next few weeks"
http://www.forbes.com/sites/robertcringely/2014/10/23/how-to-fix-ibm/

[datenbanken24]

Die Hoffnung stirbt zuletzt.

In den meisten professionellen Webservern klickt man zwei Optionen um, siehe groovy Yankee, und fertig, Problem gelöst.
Bei Domino - standing ovations - wenn IBM für - in ein paar Wochen - eine Lösung ankündigt.
Wow.


Aktuell - nach dieser IBM Meldung - liegt die estimated Download-Zeit über den IBM Software Access Catalog
für einen Domino 901 Server (938 MB) bei ca. 16 Stunden
für das 901 FP2 (184 MB) bei ca. 3 Stunden :-)
Bei einer High speed Leitung clientseitig.

Da scheinen wohl ein paar zehntausend Domino-Admins weltweit nun auf Domino 9 umsteigen zu "wollen"...

Wir dürfen nun frei nach Egon Ohlsen "mit Recht gespannt sein",
was für IBM "several weeks" bedeuten...

Für uns graue Haare.
Uwe

[Tode]

Darf ich mal fragen, was Du überhaupt willst, ausser zu trollen? Wenn Dir das IBM Verhalten nicht gefällt, dann beschwer Dich doch dort... Anstatt permanent zu jammern, was alles mit SSL nicht funktioniert bei ibm (zumindest wenn man Deine Posts bis 2012 zurück liest, ist da kein einziges anderes Thema dabei), könntest Du ja mal Tipps geben, wie man das Problem umgeht... Denn darum geht es hier: anderen mit Ihren Fragen und Problemen zu helfen, und nicht auf IBM einzuschlagen... Atnotes ist nicht IBM, und die wenigsten hier arbeiten bei denen. Und die meisten sind vermutlich, was die ganze aktuelle ssl Thematik angeht, Deiner Meinung, nur Dein polemisches rumgetröte, wie sch... iBM ist, hilft keinem weiter...

[koehlerbv]

Danke, Torsten.

Bernhard

[Pfefferminz-T]

@Uwe: Schon mal drüber nachgedacht, dass ein vermeintlich kleiner Schalter eine sehr grosse Änderung an den Interna eines Produkts bedeuten kann? Das entschuldigt natürlich nicht, dass der Produkthersteller so lange mit der Umsetzung gewartet hat, aber für Deine Aussagen ist hier imho die falsche Plattform.

Gruss,
Thorsten