Autor Thema: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ? (Gelesen 56183 mal)

shiraz · « **Antwort #40 am:** 28.10.14 - 10:18:41 »

bei mir häufen sich solche Mails:

Zitat

Sie sind als Realisierungspartner der Seite „www.xxxxx.de“ im Impressum aufgeführt. Die Verschlüsselung der Seite erfolgt noch mit SSL Version 3, die seit durch die Poodle-Sicherheitslücke als äußerst unsicher gilt. Wir haben auf allen Browser in unserem Unternehmen bereits SSLv3 deaktiviert ....
Gibt es Anstrengungen von Ihrer Seite das Zertifikat auf eine neuere Version zu aktualisieren.

Mit dem Spruch "next few weeks" mache ich mich nur lächerlich.

m3 · « **Antwort #41 am:** 28.10.14 - 10:57:47 »

Dann mach entsprechende PMRs auf und rede mit Deinen IBM Kontakten. Hier aufregen ist nur bedingt nützlich.
15 Jahre lassen sich halt nicht in 2 Tagen aufholen ...

shiraz · « **Antwort #42 am:** 28.10.14 - 11:44:06 »

Hallo Martin,

schon längst gemacht.

Zitat

15 Jahre lassen sich halt nicht in 2 Tagen aufholen

noch peinlicher für IBM

m3 · « **Antwort #43 am:** 28.10.14 - 22:04:46 »

Zitat von: shiraz am 28.10.14 - 11:44:06

Hallo Martin,

schon längst gemacht.

Gute Sache

Micha B · « **Antwort #44 am:** 29.10.14 - 20:04:19 »

Noch eine Technote: http://www-01.ibm.com/support/docview.wss?uid=swg21688547

(h)uMan · « **Antwort #45 am:** 04.11.14 - 07:33:19 »

Der Interims Fix ist verfügbar:

IBM Domino Interim Fixes to support TLS 1.0 which can be used to prevent the POODLE attack
http://www.lotus.com/ldd/dominowiki.nsf/dx/IBM_Domino_TLS_1.0

Generating a SHA-2 Keyring file
http://www.lotus.com/ldd/dominowiki.nsf/dx/Domino_keyring

Ging doch schneller als gedacht ;-)

Andrew Harder · « **Antwort #46 am:** 04.11.14 - 09:03:11 »

Danke!

Ja, wenn man paar Jahre dabei ist, weiß man wie lange man dort üblicherweise braucht.
Da ist diese Geschwindigkeit Wahnsinn, da fühlt man sich ja an Lotus erinnert.

Bezüglich https:
Der Google Chrome bekommt diese oder nächste Woche eine neue Version ohne Fallback (im Dezember dann ganz ohne SSL3) und der Firefox der am 25.11. kommt wird SSL3 deaktiviert haben.
Für den IE gab es schon den Patch, der hat mit dem IE 11 sogar funktioniert, bei den älteren Browsern, hat der Patch TLS auch mal gleich mit abgeschaltet.

Alles wird gut!

meinnameistmax · « **Antwort #47 am:** 04.11.14 - 10:32:09 »

Hallo,

habe diesen Fix durchgeführt... jedoch bekomme immernoch die Note "C" und bin sozusagen noch Angreifbar. Habt Ihr ein Tipp wie ich SSLv3 komplett deaktivieren kann

Ice-Tee · « **Antwort #48 am:** 04.11.14 - 11:42:38 »

Versuche mal "SSL_DISABLE_RENEGOTIATE=1" und dann "restart task http".
Wie sieht es dann aus?

Tannibal · « **Antwort #49 am:** 04.11.14 - 13:01:22 »

Habe es auch mal auf unserem Traveler installiert und ein neues offizielles Zertifikat aktiviert. Gleiches Problem wie bei Max.
Notes.ini Eintrag war bereits gesetzt.

pimpfling · « **Antwort #50 am:** 04.11.14 - 13:09:38 »

Kann es sein das der Fix (Interim Fix 4 for Domino 8.5.3 Fix Pack 6) noch nicht für die Solaris Server da ist?
Die Datei 853FP6HF1021-sol.tar ist 0 Byte gross. (Nur zu sehen wenn man per FTP drauf geht)
Sollte man da noch warten oder bei IBM nachfragen?

Tode · « **Antwort #51 am:** 04.11.14 - 13:20:00 »

Es sind nicht alle Dateien Downloadbar: Win32 / 64 Bit konnte ich downloaden, für Linux- Server sind die Files noch nicht da (Meldung "The requested URL /sar/CMA/LOA/04vei/0/901FP2SHF184_W32_standard.exe was not found on this server.") und die Client- Fixes sind auch noch nicht downloadbar.

Ice-Tee · « **Antwort #52 am:** 04.11.14 - 13:29:31 »

Habe gerade das IF installiert und TSL 1.0 wird jetzt unterstützt - schon mal super.
Widerspricht sich die Aussage "rot" nicht gegen Aussage "grün"??
Leider habe ich auch keine Möglichkeit gefunden, SSL 3 auf dem Server ganz zu deaktivieren. Ist das überhaupt noch notwendig bezüglich "This server supports TLS_FALLBACK_SCSV to prevent protocol downgrade attacks"?
Danke.

Tannibal · « **Antwort #53 am:** 04.11.14 - 13:38:00 »

so siehts wohl bei allen gerade aus. Denke IBM wird dazu sicherlich noch was schreiben.

shiraz · « **Antwort #54 am:** 04.11.14 - 13:47:33 »

Hallo Daniel,

IBM did not disable SSL 3.0 for compatibility reasons in this fist step. The first IF is intended to introduce TLS 1.0 to allow all applications to continue to work with Domino.....

Glombi · « **Antwort #55 am:** 04.11.14 - 18:47:11 »

Ich liebe die IBM Seiten. Die IF für 8.5.3 und 9.0 sind nicht mehr da, 9.0.1 geht...
Was ist denn nun schon wieder los?

WildVirus · « **Antwort #56 am:** 04.11.14 - 20:13:51 »

Interims Fix ist da, siehe Daniel Nashed

pimpfling · « **Antwort #57 am:** 05.11.14 - 12:46:07 »

Zitat von: WildVirus am 04.11.14 - 20:13:51

Interims Fix ist da, siehe Daniel Nashed

Link is down:

Update 5.11.2014: Before I get more questions about it. The IF has been removed from the download site and will be back soon.
There was a missing fix that needed to be added that had nothing to do with the TLS changes.

SC · « **Antwort #58 am:** 06.11.14 - 16:10:02 »

Interim Fixes ab heute wieder verfügbar, habe sie gerade runtergeladen.

knoedel0815 · « **Antwort #59 am:** 07.11.14 - 00:03:15 »

Für die Leute, die von SSLLabs ein "C" bekommen:

Nur folgende Ciphers aktiviert lassen:
- RC4 encryption with 128-bit key and MD5 MAC
- RC4 encryption with 128-bit key and SHA-1 MAC

Autor Thema: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ? (Gelesen 56183 mal)

Glombi