Autor Thema: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?  (Gelesen 56199 mal)

Offline shiraz

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 648
  • Geschlecht: Männlich
Hallo Jungs & Mädels,

was macht Ihr gegen POODLE Bites- Problem bei Domino-Server. https://www.openssl.org/~bodo/ssl-poodle.pdf

Wir haben bis jetzt keine Lösung/Update von IBM für Domino gefunden.

Wenn es bald keine Lösung von IBM kommt, ist eine Umstieg unvermeidbar !!!!

Unser Kunde schreibt:
Zitat
Unsere Internetzugänge sind so konfiguriert, dass sich unsere Systeme nicht dieser Verwundbarkeit aussetzen können.
« Letzte Änderung: 20.10.14 - 13:43:55 von shiraz »
Gruß
Christian

Offline koehlerbv

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher !!!!!
« Antwort #1 am: 18.10.14 - 00:01:49 »
Du weisst aber schon, wovon Du hier sprichst, oder? Und wie in dieser Sache vergleichbare Hersteller ebenso wie die IBM derartige Probleme näher an der Ursache anpacken, um dafür nicht spezialisierte Server sicherer ("absolut sicher" gibt es ja in Bezug auf Kriminalität nie) zu machen? Du weisst, was Ihr so oder so kaufen bzw. zum Kauf empfehlen müsst?

Wenn Ihr die Systeme Eurer Kunden nicht gegen die zahlreichen Bösewichter alleine absichern könnt, dann holt Euch Hilfe (IBM wäre ein Ansprechpartner, durchaus naheliegend, aber es gibt wie für de facto alle anderen Mitbewerber auch genug Alternativen). Ein Drei-Zeilen-Gegrummel im Forum hilft Euch da nicht wirklich weiter, das ist eher kontraproduktiv.

Bernhard

Offline shiraz

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 648
  • Geschlecht: Männlich
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #2 am: 18.10.14 - 10:28:30 »
Lieber Bernhard,

wir sind ein Dienstleister und wir können uns leider manche Sachen nicht leisten. Kunde ist König!
Ich denke das Problem betrifft viele Firmen:

http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?action=openDocument&documentId=026BD2D47421025985257D7200452B47.


http://www.thenorth.com/apblog4.nsf/0/5E95BCBA042F5CB185257D73005446F7
« Letzte Änderung: 20.10.14 - 13:44:05 von shiraz »
Gruß
Christian

Offline stoeps

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 831
  • Geschlecht: Männlich
  • It's your life, so live it your way.
    • Stoeps.de
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #3 am: 18.10.14 - 21:08:39 »
Moin,

ja der Kunde ist König, geb ich dir Recht. Also brauchst du entsprechendes Knowhow um die Systeme sicher zu bekommen.

Mal ehrlich: wer von uns hat noch seine Dominos direkt im Internet hängen?

Ich sehe im Moment folgende Möglichkeiten, solange IBM kein Update bringt:

a) vorgelagerte Appliance für SMTP (Ironport, Lotus Protector)
b) Reverse Proxy
c) IHS mit dem mod_domino (nur Windows)

Wobei mir die ganzen Geschichten die nur HTTP lösen für den A... sind.

Als ganz gute Option sehe ich:
a) nginx (Reverse Proxy für http, smtp, pop3 und imap)
b) Firewall mit entsprechenden Modulen (viele FW bieten die Möglichkeit sie als SMTP oder sonstige Proxies zu konfigurieren)

Panik hilft nicht, sondern nur entsprechendes Knowhow in Netzwerk, Firewall und entsprechenden Protokollen.

Just my 2 cents
--
Grüsse
Christoph

Offline koehlerbv

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #4 am: 19.10.14 - 00:06:52 »
Just my 2 cents

But worth a million!

Bernhard
« Letzte Änderung: 19.10.14 - 00:08:26 von koehlerbv »

Offline (h)uMan

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.056
  • Geschlecht: Männlich
  • Wird schon ...
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #5 am: 20.10.14 - 08:40:14 »
a) vorgelagerte Appliance für SMTP (Ironport, Lotus Protector)
b) Reverse Proxy

Kann Lotus Protector denn mit SHA-2, TLS und aktuelle Ciphersuites umgehen?
Wir z. B. müssen den Mailverkehr zu einigen externen Partner mit s/mime verschlüsseln. Das ist derzeit mit von der Domino CA ausgestellten Internetzertifikaten nicht (mehr) möglich.

Als ganz gute Option sehe ich:
a) nginx (Reverse Proxy für http, smtp, pop3 und imap)

Hat jemand nginx als Reverse Proxy mit transparenten Failover & Loadbalancing für HTTPs & IMAPs Verbindungen im Einsatz und kann Erfahrungen und Tipps mitteilen? Der nginx Proxy sollte dabei auch mit transparenten Failover laufen (Cluster)
Beste Grüße, Uwe

Offline datenbanken24

  • Senior Mitglied
  • ****
  • Beiträge: 390
  • Geschlecht: Männlich
  • Stammgast
    • datenbanken24
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #6 am: 20.10.14 - 17:41:46 »
shiraz hat schon recht. Das ist unfaßbar.

IBM schwadroniert seit Monaten von der Cloud.
Cloud! Cloud! Cloud! Blub. Blub. Blub.

Mindestens genau so lange weisen tausende Kunden unermüdlich darauf hin,
dass die SSL Optionen im Domino Server dringend aktualisiert werden müssen.
Das ist tiefstes Mittelalter, was da zur Auswahl angeboten wird.

Wer heute Zertifikate bestellt, z.B. bei comodo, bekommt schon gar kein SHA-1 mehr.
Nur nach langen Ausnahmeverhandlungen.

Ob es IBM technisch nicht hinbekommt oder einfach nur schläft oder gar die NSA ein Update nicht erlaubt, sei dahingestellt.
Aber SHA-2 ist nun mal Standard.

Auf der einen Seite stellen Kunden und Hersteller derzeit logischerweise massiv Ihre Browser um -
andererseits kann der IBM Server das einfach nicht liefern.
Als Cloud-Provider steckt man dazwischen in der Klemme.

IBM blubbert die üblichen Phrasen anstatt schnell und professionell zu reagieren und zu handeln.

Cloud ist nicht nur Marketing und Vertrieb - Cloud ist Technik und Innovation.

Es herrscht hier dringendster Handlungsbedarf seitens IBM.

Das Problem aller Workarounds - und damit auch der oben beschrieben - ist,
dass man damit zwar ein Problem löst - aber sich meist 20 neue einfängt.

Jeder, wirklich jeder, der einen IBM Supportvertrag hat,
sollte sofort einen Call diesbezüglich aufmachen und Druck aufbauen.
Hier herrscht extremster Handlungsbedarf.

Gruß,
Uwe

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #7 am: 20.10.14 - 18:12:51 »
Zitat
Mal ehrlich: wer von uns hat noch seine Dominos direkt im Internet hängen?

Dann will ich mal eine Lanze brechen:
Hier ich!
Für eine public Notes Applikation, die aber Eingaben der Anwender erfasst.
Es hat bisher keinen Sinn gemacht, etwas davor zu schalten.

Hier ist aber weniger die Sicherheit ein Problem sondern die Tatsache, dass man nun anfängt in Browsern und das Fallback auf 3.0 ab zu stellen. Damit ist die Applikation (Domino) nicht mehr nutzbar....

Weiterhin verstehe ich das ja so, dass ein Angriff nur mit Beteiligung des Browsers geschehen kann, dass würde die anderen Domino Protokolle (SMTP, IMAP etc) von einem Angriffsszenario zunächst ausschließen.

Das für mich Erschreckende ist aber die Tatsache, dass es schon seit Jahren bei IBM bekannt ist und nichts dagegen unternommen wird.
Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

Offline datenbanken24

  • Senior Mitglied
  • ****
  • Beiträge: 390
  • Geschlecht: Männlich
  • Stammgast
    • datenbanken24
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #8 am: 20.10.14 - 19:28:43 »
... obwohl immer und immer und immer wieder darauf hin gewiesen wird...

eg.:

The only people who can get this done are big IBM Domino customers. Since this doesn't have a direct net positive effect on EPS (Earnings Per Share) for 2016, nothing is going to get done on it as long as they keep having the excuse that "our customers aren't telling us they need this".

 Start telling them. Loudly. Repeatedly. If you're a large enough customer that you negotiate licensing, make it a condition of license renewal.


Original:
http://www.thenorth.com/apblog4.nsf/0/236121854727AE5885257D560053631E


Wir haben daraufhin erst letzten Monat alle unsere SSL Zertifikate auf ein kürzeres Enddatum "abschneiden lassen". Verrückt, aufwendig und sehr teuer. Aber eben notwendig. Und gut für den Aktienwert von IBM, wenn andere für die Fehler bezahlen...

Für die SHA-2 Problematik (nicht POODLE) könnte es einen Workaround geben, wir testen diesen gerade.

http://blog.darrenduke.net/Darren/DDBZ.nsf/dx/so-domino-and-sha2.....theres-a-spr-for-that.htm?opendocument&comments

Gruß,
Uwe
« Letzte Änderung: 20.10.14 - 19:31:39 von datenbanken24 »

Offline shiraz

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 648
  • Geschlecht: Männlich
« Letzte Änderung: 21.10.14 - 08:26:44 von shiraz »
Gruß
Christian

Offline (h)uMan

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.056
  • Geschlecht: Männlich
  • Wird schon ...
Beste Grüße, Uwe

Offline Mr.Langhaar

  • Junior Mitglied
  • **
  • Beiträge: 70
  • Geschlecht: Männlich
  • It´s not a Bug. It´s a feature !
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #11 am: 21.10.14 - 10:17:49 »
Hallo,

<Mal ehrlich: wer von uns hat noch seine Dominos direkt im Internet hängen?
<
<Ich sehe im Moment folgende Möglichkeiten, solange IBM kein Update bringt:
<
<a) vorgelagerte Appliance für SMTP (Ironport, Lotus Protector)
<b) Reverse Proxy
<c) IHS mit dem mod_domino (nur Windows)

wir nutzen den IHS für unseren Traveler, damit ist ja ssl v3 schnell abgeschaltet.
Allerdings hab ich zum Thema Perfect Forward Security leider nichts gefunden, wie ich das einschalten könnte. :-[
Hat das einer von euch am laufen ?

Gruß
Thomas


Seit R5.0 mit dabei
Server 9.0.1
Clients 9.0.1
Blackberry 12.5/Traveler 9
Sametime 8.5.2
MarvelClient

Offline flaite

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.966
    • mein del.icio.us
Ich stimm nicht mit allen überein, aber mit vielen und sowieso unterhaltsam -> https://www.youtube.com/channel/UCr9qCdqXLm2SU0BIs6d_68Q

---

Aquí no se respeta ni la ley de la selva.
(Hier respektiert man nicht einmal das Gesetz des Dschungels)

Nicanor Parra, San Fabian, Región del Bio Bio, República de Chile

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #13 am: 21.10.14 - 18:27:47 »
Was lange währt wird endlich gut: IBM erhört offensichtlich die lauten Rufe:
Zitat
SHA-2 support for Domino 9.x is planned to be delivered over the next several weeks via an Interim Fix.

Und gegen den Poodle:
Zitat
IBM will provide Interim Fixes for the following Domino releases:
9.0.1 Fix Pack 2
9.0
8.5.3 Fix Pack 6
8.5.2 Fix Pack 4
8.5.1 Fix Pack 5
« Letzte Änderung: 21.10.14 - 18:31:57 von Tode »
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline Micha B

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.922
« Letzte Änderung: 21.10.14 - 19:23:44 von Micha B »

Offline shiraz

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 648
  • Geschlecht: Männlich
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #15 am: 21.10.14 - 22:34:46 »
Es scheint, dass das Drei-Zeilen-Gegrummel von Kunden geholfen hat. Das Problem ist seit langem Bekannt und IBM hat nur reagiert weil die Gegrummele so laut und stark war.

Jetzt warten wir "next few weeks"
http://www.forbes.com/sites/robertcringely/2014/10/23/how-to-fix-ibm/

« Letzte Änderung: 24.10.14 - 16:20:22 von shiraz »
Gruß
Christian

Offline datenbanken24

  • Senior Mitglied
  • ****
  • Beiträge: 390
  • Geschlecht: Männlich
  • Stammgast
    • datenbanken24
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #16 am: 21.10.14 - 22:41:06 »
Die Hoffnung stirbt zuletzt.

In den meisten professionellen Webservern klickt man zwei Optionen um, siehe groovy Yankee, und fertig, Problem gelöst.
Bei Domino - standing ovations - wenn IBM für - in ein paar Wochen - eine Lösung ankündigt.
Wow.


Aktuell - nach dieser IBM Meldung - liegt die estimated Download-Zeit über den IBM Software Access Catalog
für einen Domino 901 Server (938 MB) bei ca. 16 Stunden
für das 901 FP2 (184 MB) bei ca. 3 Stunden :-)
Bei einer High speed Leitung clientseitig.

Da scheinen wohl ein paar zehntausend Domino-Admins weltweit nun auf Domino 9 umsteigen zu "wollen"...

Wir dürfen nun frei nach Egon Ohlsen "mit Recht gespannt sein",
was für IBM "several weeks" bedeuten...

Für uns graue Haare.
Uwe

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #17 am: 22.10.14 - 00:17:57 »
Darf ich mal fragen, was Du überhaupt willst, ausser zu trollen? Wenn Dir das IBM Verhalten nicht gefällt, dann beschwer Dich doch dort... Anstatt permanent zu jammern, was alles mit SSL nicht funktioniert bei ibm (zumindest wenn man Deine Posts bis 2012 zurück liest, ist da kein einziges anderes Thema dabei), könntest Du ja mal Tipps geben, wie man das Problem umgeht... Denn darum geht es hier: anderen mit Ihren Fragen und Problemen zu helfen, und nicht auf IBM einzuschlagen... Atnotes ist nicht IBM, und die wenigsten hier arbeiten bei denen. Und die meisten sind vermutlich, was die ganze aktuelle ssl Thematik angeht, Deiner Meinung, nur Dein polemisches rumgetröte, wie sch... iBM ist, hilft keinem weiter...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline koehlerbv

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #18 am: 22.10.14 - 00:23:09 »
Danke, Torsten.

Bernhard

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #19 am: 22.10.14 - 09:11:05 »
@Uwe: Schon mal drüber nachgedacht, dass ein vermeintlich kleiner Schalter eine sehr grosse Änderung an den Interna eines Produkts bedeuten kann? Das entschuldigt natürlich nicht, dass der Produkthersteller so lange mit der Umsetzung gewartet hat, aber für Deine Aussagen ist hier imho die falsche Plattform.

Gruss,
Thorsten
Grüsse,
Thorsten

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz