Das Notes Forum

Sonstiges => Offtopic => Thema gestartet von: WernerMo am 21.05.08 - 13:33:05

Titel: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
Beitrag von: WernerMo am 21.05.08 - 13:33:05: Hallo

gerade bei heise gefunden:

http://www.heise.de/newsticker/IBMs-Lotus-Domino-laesst-sich-Code-unterschieben--/meldung/108239

Gruß Werner

- edit (14:07 Uhr) -
was mich irritiert, nur in einem der beiden Dokument von IBM ist davon die Rede:
"Attacker must be able to authenticate"
im anderen nicht, das würde heißen, dass jeder Server mit http-Task von jedem Angreifer kompromitiert werden kann? buh
Titel: Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
Beitrag von: m3 am 21.05.08 - 14:37:18: Die 1303057 (http://www-1.ibm.com/support/docview.wss?uid=swg21303057) ist ein Stack-Overflow Bug (schlampige Programmierung im Web-Server Code), der den Server zum Absturz bringen kann. Da brauchts keine Anmeldung, da reicht es, wenn der http-Request vom Server entgegengenommen wird, wurscht ob wer angemeldet ist, oder nicht.

Der hat mit dem anderen (1303296 (http://www-1.ibm.com/support/docview.wss?uid=swg21303296)) Bug nix zu tun.
Titel: Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
Beitrag von: WernerMo am 21.05.08 - 14:46:12: Hallo,

danke Martin, für die Differenzierung, habe ich inzwischen auch gemerkt, aber dennoch kompromitieren beide den Webserver.

Das Eigenartige ist nur, dass in der Fixliste zum FP1 diese beiden SPRs nicht genannt sind.

Ich vermute da wird bei mir nichts aus dem Feiertag morgen, für Tests unter 7.03 FP1 geht der morgige Tag garantiert drauf. Hoffentlich hilft es dann wenigsten.

Gruß Werner
Titel: Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
Beitrag von: hallo.dirk am 21.05.08 - 15:12:09: Hab grade einen PMR für 6.5.x aufgemacht.

Da hält sich IBM etwas zurrück...
Titel: Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
Beitrag von: WernerMo am 21.05.08 - 15:26:22: Hallo

mein PMR ist seit 13:56 offen: ..821
Zwischenergebnis steht in meinem zweiten Beitrag s.o.

Gruß Werner
-edit-
bei mir ist es aber für 7.0.2 FP2 (mit Hotfix 702FP2HF745)
Titel: Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
Beitrag von: m3 am 21.05.08 - 15:32:39: Zitat von: hallo.dirk am 21.05.08 - 15:12:09
Hab grade einen PMR für 6.5.x aufgemacht.

Da hält sich IBM etwas zurrück...
Heheh. Ich hab unsere Betriebler auch schon drauf gehetzt. Ich denke, sie wollen/wollten sich den Fix sparen, weil 6.5. "eh bald" Out Of Support ist.
Titel: Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
Beitrag von: WernerMo am 21.05.08 - 16:39:32: Hallo,

nun habe ich es "amtlich", beide SPRs sind wirklich im 7.0.3. FP1 behoben
(auch wenn diese nicht in der Fixliste genannt sind)
Nun muss ich nur noch auf meinen HF745 warten.

Gruß Werner
PS viel Glück für die 6.5.x-Admins
Titel: Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
Beitrag von: hallo.dirk am 21.05.08 - 18:05:52: Das habe ich als Antwort erhalten:

Zitat
Hello Dirk

Thank you for taking my call earlier.

I have checked the technote and the related SPR. I also discussed with our
technical advisor.

In fact this vulnerability was not ever seen in the R6.5.4 platform. It
only affects the webservers from version 7.

I have started the process to update the technote so that it will reflect
the correct platforms
Titel: Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
Beitrag von: WernerMo am 21.05.08 - 18:50:22: Hallo Dirk

danke für die Info,
da wird sich aber Martin freuen,

Gruß Werner
Titel: Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
Beitrag von: m3 am 21.05.08 - 19:43:40: Ahhh, schade. ;)

Ich hab mich schon darauf gefreut, unseren "fleissigen" Admins beim Patchen zuzusehen. ;D
Titel: Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
Beitrag von: WernerMo am 22.05.08 - 19:30:31: Hallo,

Zitat von: WernerMo am 21.05.08 - 16:39:32
Nun muss ich nur noch auf meinen HF745 warten.

da kann man nicht meckern: gerade kam auch der HF noch, 26 Stunden finde ich schon gut.
Nun gehts ans Testen auf dem Testserver und dann heute nacht aufs Livesystem.

Gruß Werner
Titel: Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
Beitrag von: hallo.dirk am 23.05.08 - 18:00:27: Martin darf wohl doch zuschauen:

Obwohl der PMR schon zu war habe ich eben das hier erhalten:

(Sorry Zitat geht auf dem Blackberry nicht)

"
Hello Dirk

I have learned today that there will be fixes available for the V6 domino.
Therefore I have re-opened the PMR for you and will escalate it to
development for a fix for you domino release 6.5.4

I will let you know as soon as I obtain the fixes"
Titel: Re: heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben
Beitrag von: WernerMo am 31.05.08 - 21:10:00: Hallo,

Zitat von: WernerMo am 22.05.08 - 19:30:31
da kann man nicht meckern: gerade kam auch der HF noch, 26 Stunden finde ich schon gut.
Nun gehts ans Testen auf dem Testserver und dann heute nacht aufs Livesystem.

leider hielt dieser HF auch nicht sehr lange, am Do. 29. Mai (nach 7 Tagen) crashte der Webserver wieder mit den 100% gleichen NSD-Meldungen wie unter 7.0.2 der mit dem Fixpack behoben sein soll(te).

Also wieder einen PMR aufgemacht (29. Mai 15:59) mit Prio 1, Rückruf schon nach einer Stunde IBM (Dublin) stuft PRM noch höher "24/7".

Dublin hält mich auf dem laufenden, dass im "Labor in USA" schon daran gearbeitet wird, nun kommen die Mails direkt aus USA:

30.Mai 17:15
"... I have reviewed 703FP1HF79. It seems that the installer did not pick up
the Notes.jar file. I will need to rebuild this fix. ..."

31. Mai 17:17 Uhr
"Hotfix 703FP1HF101 has been posted for download at ftp:..."

Dann nur noch den nutzlosen HF79 "reverten" und den HF101 installieren, zuerst in der Testumgebung und alle Web- und Intranetfunktionen (an)testen.
Dann noch das selbe für den Liveserver und "schon" sind wir fertig.

Mal sehen wie lange der HF "durchhält".

Gruß Werner
Noch ein schönes und ruhiges Wochenende.
PS: ich brauche nun "einige Mützen Schlaf"