Domino 9 und frühere Versionen > ND7: Administration & Userprobleme
Frage: Sicherheitseinschätzung von Euch
jww:
Nachdem ich mir das mal angeguckt habe, stellt sich mir folgende Frage:
Die Exploits scheinen ja - bis auf DoS die mich nicht interessieren, nur in der JRE und JVM zu stecken.
Mal ausgehend von der Tatsache, dass ich fast ausnahmslos eigene DB's habe, die nirgends großartig Lotusscript verwenden und auch keine eigebetteten Java Elemente haben ... kann ich den Domino (7.04) auch ohne JVM/JRE betreiben?
Dann wäre m.E. die Gefahr weitgehend gebannt, denn die HTTP Probleme mit den überlangen Requests scheinen ja nach dieser Website ab 7.x der Vergangenheit anzugehören.
stoeps:
Wir nennen das Beratungsresistent!
Hier mein letzter Versuch, das ist für Domino 7.0.4
https://www.cvedetails.com/vulnerability-list/vendor_id-14/product_id-1563/version_id-104312/IBM-Lotus-Domino-7.0.4.2.html
Das sind allein 4 mit 10.0 bewertete Lücken, die Remote ausgenutzt werden können und code auf deinem Server ausführen.
Im Endeffekt ist das deine Entscheidung, dein Geld, dein Risiko. Du bekommst Win 7 und Domino 7 nicht sicher solange auch nur ein Port aus dem Web erreichbar ist.
Vielleicht treffen wir uns in paar Jahren und du sagst "Ätsch es lief x Jahre ohne Probleme", oder du bist irgendwann auf der Suche nach den Backupplatten. Interessiert mich nicht.
Wie hat neulich einer so passend gesagt: "Es gibt zwei Sorten von Firmen, die die wissen dass sie gehackt wurden und die die es nicht wissen."
jww:
danke für die Mühe ... aber ...
Beratungsresistent? Oder "ungehyped"?
Nur, weil ich die aufgezeigten Punkte als "nicht zutreffend" betrachte oder es eben nicht verstehe? Ich gehe den Hinweisen ja gerne nach, aber ich akzeptiere kein "das ist so". Ich will's verstehen. Und wenn ich etwas verstanden habe, dann unternehme ich auch ggf. etwas.
Nehmen wir doch mal ganz konkret Deine gepostete Seite her:
Erster Eintrag:
"(1) a URL accessed during use of the Mail template in the WebMail UI or (2) a URL accessed during use of Domino Help through the Domino HTTP server."
Beides nicht m.E. in meiner Installation nicht einschlägig da nicht installietrt/benutzt. Weder Mail (sicher) noch Help (nicht sicher, was da gemeint ist ... wenn es dabei um die help.nsf geht, kann ich die ja löschen. brauche ich auf dem Server nicht).
Zweiter Eintrag:
"The remote console in the Server Controller in IBM Lotus Domino 7.x and 8.x verifies credentials ..."
Remote Console: wird nicht unterstützt auf dem fraglichen Server, müßte ja nach meinen Kenntnissen auch explizit für Internet-Use (ports) eingerichtet werden?
Dritter Eintrag:
Stack-based buffer overflow in nrouter.exe
nrouter läuft nicht. Mail wird anders gehostet.
Vierter Eintrag:
Integer signedness error in ndiiop.exe
ndiiop läuft nicht, da CORBA funlktionalität nicht gebraucht wird.
Fünfter Eintrag: siehe 4.
Und nun?
Klafu:
Und nu bist du sicher ;)
Send from Netscape Navigator
jww:
Ich denke, dass dieses Thema vielleicht auch für andere Domino-Admins interessant ist, und auch viele von Ihnen nicht unbdingt die tiefen Kenntnisse zum Thema "Angriff" haben. Das Thema selbst und seine Domino-Spezifische Aufarbeitung ist m.E. auch unabhängig von OS und Version.
Vielmehr müßte m.E. erst mal eine Tabelle her, welche Tasks sowie die "Basissoftware" genetrell gegen welche Art von Angriffen "vulnerabel" SEIN KANN.
Es macht - übertragen - ja wenig Sinn, mit einem Bergvolk über die Gefahr eines Haiangriffs beim Surfen zu sprechen ... natürlich kann das bei einem Urlaub passieren, aber das ist halt bezogen auf das tatsächliche Risiko der Zielgruppe woh weit hintenan zu stellen.
Was ich an den Sicherheitsdiskussionen sehr schade finde ist, dass kritisches Nachfragen (und sei es, wie bei mir nur, um überhaupot zu verstehen, was Sache ist) fast immer mit entweder Abwertung, Totschlagargumenten oder aber kryptischen Antworten begegnet wird. das hilft aber überhaupt nicht und führt - in meinem Fall - eher zu einem Mißtrauen gegenüber getroffener Aussagen.
Schade. Nicht zielführend, wenn das Ziel Sicherheit ist.
Wenn das Ziel alledings ist, sich zu profilieren oder Jobs/Dienstleistungsbereiche zu sichern, mag es zielführend sein.
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln