Das Notes Forum
Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: shiraz am 17.10.14 - 22:10:01
-
Hallo Jungs & Mädels,
was macht Ihr gegen POODLE Bites- Problem bei Domino-Server. https://www.openssl.org/~bodo/ssl-poodle.pdf (https://www.openssl.org/~bodo/ssl-poodle.pdf)
Wir haben bis jetzt keine Lösung/Update von IBM für Domino gefunden.
Wenn es bald keine Lösung von IBM kommt, ist eine Umstieg unvermeidbar !!!!
Unser Kunde schreibt:Unsere Internetzugänge sind so konfiguriert, dass sich unsere Systeme nicht dieser Verwundbarkeit aussetzen können.
-
Du weisst aber schon, wovon Du hier sprichst, oder? Und wie in dieser Sache vergleichbare Hersteller ebenso wie die IBM derartige Probleme näher an der Ursache anpacken, um dafür nicht spezialisierte Server sicherer ("absolut sicher" gibt es ja in Bezug auf Kriminalität nie) zu machen? Du weisst, was Ihr so oder so kaufen bzw. zum Kauf empfehlen müsst?
Wenn Ihr die Systeme Eurer Kunden nicht gegen die zahlreichen Bösewichter alleine absichern könnt, dann holt Euch Hilfe (IBM wäre ein Ansprechpartner, durchaus naheliegend, aber es gibt wie für de facto alle anderen Mitbewerber auch genug Alternativen). Ein Drei-Zeilen-Gegrummel im Forum hilft Euch da nicht wirklich weiter, das ist eher kontraproduktiv.
Bernhard
-
Lieber Bernhard,
wir sind ein Dienstleister und wir können uns leider manche Sachen nicht leisten. Kunde ist König!
Ich denke das Problem betrifft viele Firmen:
http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?action=openDocument&documentId=026BD2D47421025985257D7200452B47 (http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?action=openDocument&documentId=026BD2D47421025985257D7200452B47).
http://www.thenorth.com/apblog4.nsf/0/5E95BCBA042F5CB185257D73005446F7 (http://www.thenorth.com/apblog4.nsf/0/5E95BCBA042F5CB185257D73005446F7)
-
Moin,
ja der Kunde ist König, geb ich dir Recht. Also brauchst du entsprechendes Knowhow um die Systeme sicher zu bekommen.
Mal ehrlich: wer von uns hat noch seine Dominos direkt im Internet hängen?
Ich sehe im Moment folgende Möglichkeiten, solange IBM kein Update bringt:
a) vorgelagerte Appliance für SMTP (Ironport, Lotus Protector)
b) Reverse Proxy
c) IHS mit dem mod_domino (nur Windows)
Wobei mir die ganzen Geschichten die nur HTTP lösen für den A... sind.
Als ganz gute Option sehe ich:
a) nginx (Reverse Proxy für http, smtp, pop3 und imap)
b) Firewall mit entsprechenden Modulen (viele FW bieten die Möglichkeit sie als SMTP oder sonstige Proxies zu konfigurieren)
Panik hilft nicht, sondern nur entsprechendes Knowhow in Netzwerk, Firewall und entsprechenden Protokollen.
Just my 2 cents
-
Just my 2 cents
But worth a million!
Bernhard
-
a) vorgelagerte Appliance für SMTP (Ironport, Lotus Protector)
b) Reverse Proxy
Kann Lotus Protector denn mit SHA-2, TLS und aktuelle Ciphersuites umgehen?
Wir z. B. müssen den Mailverkehr zu einigen externen Partner mit s/mime verschlüsseln. Das ist derzeit mit von der Domino CA ausgestellten Internetzertifikaten nicht (mehr) möglich.
Als ganz gute Option sehe ich:
a) nginx (Reverse Proxy für http, smtp, pop3 und imap)
Hat jemand nginx als Reverse Proxy mit transparenten Failover & Loadbalancing für HTTPs & IMAPs Verbindungen im Einsatz und kann Erfahrungen und Tipps mitteilen? Der nginx Proxy sollte dabei auch mit transparenten Failover laufen (Cluster)
-
shiraz hat schon recht. Das ist unfaßbar.
IBM schwadroniert seit Monaten von der Cloud.
Cloud! Cloud! Cloud! Blub. Blub. Blub.
Mindestens genau so lange weisen tausende Kunden unermüdlich darauf hin,
dass die SSL Optionen im Domino Server dringend aktualisiert werden müssen.
Das ist tiefstes Mittelalter, was da zur Auswahl angeboten wird.
Wer heute Zertifikate bestellt, z.B. bei comodo, bekommt schon gar kein SHA-1 mehr.
Nur nach langen Ausnahmeverhandlungen.
Ob es IBM technisch nicht hinbekommt oder einfach nur schläft oder gar die NSA ein Update nicht erlaubt, sei dahingestellt.
Aber SHA-2 ist nun mal Standard.
Auf der einen Seite stellen Kunden und Hersteller derzeit logischerweise massiv Ihre Browser um -
andererseits kann der IBM Server das einfach nicht liefern.
Als Cloud-Provider steckt man dazwischen in der Klemme.
IBM blubbert die üblichen Phrasen anstatt schnell und professionell zu reagieren und zu handeln.
Cloud ist nicht nur Marketing und Vertrieb - Cloud ist Technik und Innovation.
Es herrscht hier dringendster Handlungsbedarf seitens IBM.
Das Problem aller Workarounds - und damit auch der oben beschrieben - ist,
dass man damit zwar ein Problem löst - aber sich meist 20 neue einfängt.
Jeder, wirklich jeder, der einen IBM Supportvertrag hat,
sollte sofort einen Call diesbezüglich aufmachen und Druck aufbauen.
Hier herrscht extremster Handlungsbedarf.
Gruß,
Uwe
-
Mal ehrlich: wer von uns hat noch seine Dominos direkt im Internet hängen?
Dann will ich mal eine Lanze brechen:
Hier ich!
Für eine public Notes Applikation, die aber Eingaben der Anwender erfasst.
Es hat bisher keinen Sinn gemacht, etwas davor zu schalten.
Hier ist aber weniger die Sicherheit ein Problem sondern die Tatsache, dass man nun anfängt in Browsern und das Fallback auf 3.0 ab zu stellen. Damit ist die Applikation (Domino) nicht mehr nutzbar....
Weiterhin verstehe ich das ja so, dass ein Angriff nur mit Beteiligung des Browsers geschehen kann, dass würde die anderen Domino Protokolle (SMTP, IMAP etc) von einem Angriffsszenario zunächst ausschließen.
Das für mich Erschreckende ist aber die Tatsache, dass es schon seit Jahren bei IBM bekannt ist und nichts dagegen unternommen wird.
-
... obwohl immer und immer und immer wieder darauf hin gewiesen wird...
eg.:
The only people who can get this done are big IBM Domino customers. Since this doesn't have a direct net positive effect on EPS (Earnings Per Share) for 2016, nothing is going to get done on it as long as they keep having the excuse that "our customers aren't telling us they need this".
Start telling them. Loudly. Repeatedly. If you're a large enough customer that you negotiate licensing, make it a condition of license renewal.
Original:
http://www.thenorth.com/apblog4.nsf/0/236121854727AE5885257D560053631E
Wir haben daraufhin erst letzten Monat alle unsere SSL Zertifikate auf ein kürzeres Enddatum "abschneiden lassen". Verrückt, aufwendig und sehr teuer. Aber eben notwendig. Und gut für den Aktienwert von IBM, wenn andere für die Fehler bezahlen...
Für die SHA-2 Problematik (nicht POODLE) könnte es einen Workaround geben, wir testen diesen gerade.
http://blog.darrenduke.net/Darren/DDBZ.nsf/dx/so-domino-and-sha2.....theres-a-spr-for-that.htm?opendocument&comments
Gruß,
Uwe
-
http://www.wiseman.la/web/cpwblog.nsf/dx/repost-ibm...-please-update-dominos-ssltls.-its-stuck-in-ancient-times-and-vulnerable..htm?opendocument&comments (http://www.wiseman.la/web/cpwblog.nsf/dx/repost-ibm...-please-update-dominos-ssltls.-its-stuck-in-ancient-times-and-vulnerable..htm?opendocument&comments)
-
siehe http://atnotes.de/index.php/topic,58068.0.html
-
Hallo,
<Mal ehrlich: wer von uns hat noch seine Dominos direkt im Internet hängen?
<
<Ich sehe im Moment folgende Möglichkeiten, solange IBM kein Update bringt:
<
<a) vorgelagerte Appliance für SMTP (Ironport, Lotus Protector)
<b) Reverse Proxy
<c) IHS mit dem mod_domino (nur Windows)
wir nutzen den IHS für unseren Traveler, damit ist ja ssl v3 schnell abgeschaltet.
Allerdings hab ich zum Thema Perfect Forward Security leider nichts gefunden, wie ich das einschalten könnte. :-[
Hat das einer von euch am laufen ?
Gruß
Thomas
-
https://access.redhat.com/solutions/1232233
kein Wort zu viel. :-X
-
Was lange währt wird endlich gut: IBM (http://www-01.ibm.com/support/docview.wss?uid=swg21418982&myns=swglotus&mynp=OCSSKTMJ&mync=E) erhört offensichtlich die lauten Rufe:
SHA-2 support for Domino 9.x is planned to be delivered over the next several weeks via an Interim Fix.
Und gegen den Poodle:
IBM will provide Interim Fixes for the following Domino releases:
9.0.1 Fix Pack 2
9.0
8.5.3 Fix Pack 6
8.5.2 Fix Pack 4
8.5.1 Fix Pack 5
-
Zum nachlesen:
http://www-01.ibm.com/support/docview.wss?uid=swg21687167
http://www-01.ibm.com/support/docview.wss?uid=swg21418982
-
Es scheint, dass das Drei-Zeilen-Gegrummel von Kunden geholfen hat. Das Problem ist seit langem Bekannt und IBM hat nur reagiert weil die Gegrummele so laut und stark war.
Jetzt warten wir "next few weeks"
http://www.forbes.com/sites/robertcringely/2014/10/23/how-to-fix-ibm/ (http://www.forbes.com/sites/robertcringely/2014/10/23/how-to-fix-ibm/)
-
Die Hoffnung stirbt zuletzt.
In den meisten professionellen Webservern klickt man zwei Optionen um, siehe groovy Yankee, und fertig, Problem gelöst.
Bei Domino - standing ovations - wenn IBM für - in ein paar Wochen - eine Lösung ankündigt.
Wow.
Aktuell - nach dieser IBM Meldung - liegt die estimated Download-Zeit über den IBM Software Access Catalog
für einen Domino 901 Server (938 MB) bei ca. 16 Stunden
für das 901 FP2 (184 MB) bei ca. 3 Stunden :-)
Bei einer High speed Leitung clientseitig.
Da scheinen wohl ein paar zehntausend Domino-Admins weltweit nun auf Domino 9 umsteigen zu "wollen"...
Wir dürfen nun frei nach Egon Ohlsen "mit Recht gespannt sein",
was für IBM "several weeks" bedeuten...
Für uns graue Haare.
Uwe
-
Darf ich mal fragen, was Du überhaupt willst, ausser zu trollen? Wenn Dir das IBM Verhalten nicht gefällt, dann beschwer Dich doch dort... Anstatt permanent zu jammern, was alles mit SSL nicht funktioniert bei ibm (zumindest wenn man Deine Posts bis 2012 zurück liest, ist da kein einziges anderes Thema dabei), könntest Du ja mal Tipps geben, wie man das Problem umgeht... Denn darum geht es hier: anderen mit Ihren Fragen und Problemen zu helfen, und nicht auf IBM einzuschlagen... Atnotes ist nicht IBM, und die wenigsten hier arbeiten bei denen. Und die meisten sind vermutlich, was die ganze aktuelle ssl Thematik angeht, Deiner Meinung, nur Dein polemisches rumgetröte, wie sch... iBM ist, hilft keinem weiter...
-
Danke, Torsten.
Bernhard
-
@Uwe: Schon mal drüber nachgedacht, dass ein vermeintlich kleiner Schalter eine sehr grosse Änderung an den Interna eines Produkts bedeuten kann? Das entschuldigt natürlich nicht, dass der Produkthersteller so lange mit der Umsetzung gewartet hat, aber für Deine Aussagen ist hier imho die falsche Plattform.
Gruss,
Thorsten
-
Mal ehrlich.
Findet ihr, dass das Trolling ist ?
"Als Troll bezeichnet man im Netzjargon eine Person, welche die Kommunikation im Internet fortwährend und auf destruktive Weise dadurch behindert, dass sie Beiträge verfasst, die sich auf die Provokation anderer Gesprächsteilnehmer beschränken und keinen sachbezogenen und konstruktiven Beitrag zur Diskussion enthalten,..."
So sehe ich mich nach 11 Jahren atnotes und 381 Beiträgen eigentlich nicht.
Viele Business-Partner, Kunden und ISPs', so wie auch wir, installieren und konfigurieren sich derzeit nächtelang die Finger wund, um irgendwie aus dieser Nummer rauszukommen, darauf wollte ich mit den Downloadzeiten hinweisen. Um dadurch, die oben beschriebenen und lange bekannten Mißstände von IBM auszubaden, welche für die Maintenance von Notes/Domino jährlich mehrere hundert Millionen Dollar Lizenzgebühren abverlangt.
Ja, ich bin sauer auf IBM.
Wie viele andere auch, deren Businessgrundlage und Firmenkommunikation derzeit massiv bedroht ist.
Ich finde es wichtig - und sachlich richtig - in möglichst vielen Fach-Foren dazu aufzurufen,
gemeinsam und intensiv dem Hersteller IBM mitzuteilen, hier bitte schnell zu reagieren.
Das kann nur von Kunden und Business-Partnern kommen - und die sind hier im atnotes Forum.
Wenn das Trolling ist - gäbe es derzeit sehr viele Trolle in sehr vielen IBM/Domino Foren weltweit...
Und da geht es zum Teil noch viel schärfer ab.
Gruß,
Uwe
-
Wir sollten diese -off topic- Diskussion (wenn überhaupt) nicht hier in diesem Thread führen.
IBM hat reagiert, und es wird ein Fix kommen. Ob uns dabei die Geschwindigkeit passt, in der das passiert, ist ein völlig anderes Thema...
-
Ich sehe hier auch kein trollen und ein bisschen Dampf ablassen darf man auch mal.
Aber nun bitte wieder nur sachdienliche Hinweise zu diesem Thema.
Andreas
-
Nur zur Info:
Die Verwundbarkeit lässt sich z.B. über einen kostenfreien aber seriösen Service im Internet überprüfen:
https://www.ssllabs.com/ssltest/analyze.html?d="Ihre Domain" (https://www.ssllabs.com/ssltest/analyze.html?d="Ihre Domain")
-
Ist Euch auch aufgefallen, welches Detail (abgesehen vom Liefertermin) bei dem SHA-2 Announcement fehlt? ;)
-
m3: Nein. Welches ?
Glombi: Danke.
Tode:
Darf ich mal fragen, was Du überhaupt willst, ausser zu trollen? Wenn Dir das IBM Verhalten nicht gefällt, dann beschwer Dich doch dort... Anstatt permanent zu jammern, was alles mit SSL nicht funktioniert bei ibm...
IBM hat reagiert, und es wird ein Fix kommen.
Amen - Gott beschützt euch - und die Welt ist ab sofort wieder in Ordnung.
Diese Einstellung kann ich nicht teilen.
Sicher trägt der Stress, der uns gegenwärtig entgegenschlägt, ein wenig zur Wortwahl bei. Sorry.
Aber "polemisches Jammern" ist das sicher nicht.
Hier ein paar sachliche Zahlen.
Selbstverständlich haben wir uns an IBM gewandt.
SPR 2008, SPR 2009, SPR 2010, ..., SPR 2013
IBM sagte noch vor kurzem dazu offiziell:
"We've not head that our customers want this."
"The 2009 created SPR has already a weight of 3000+ (never seen such value in 15 years), usually above 200 a SPR gets attention."
I'm wondering how much more feedback is required to get this fix implemented?
Steve Pitcher zeigt auf dieses IBM Zitat in dieser Diskussion:
http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=0BBA1D75D92075FC85257D3B006FABB8#020FC4F3619B289B85257D77004CA737
2010 wurde TLS und sha-2 für die nächste Domino Version verbindlich zugesagt.
Auch dieser Link ist im Web - finde ihn aber heute nicht.
Nun haben wir 2014 und Poodle.
Ich schätze, die Zahl an SPR's diesbezüglich hat sich mindestens auf 30.000 verzehnfacht.
Ein "beschwer Dich doch dort"
ist wohl etwas zu einfach formuliert, oder ?
> 10.000 Posts zu diesem Thema lt. google in den letzten 5 Tagen.
Gab es so etwas schon mal bei N/D?
Was wir hier gerade erleben, ist leider nicht das Problem selbst -
es ist die Eskalation eines lang vorhergesehenen und tausendfach gemeldeten Problems.
187 Not-Anrufe diesbezüglich bei uns - nur heute -
22 not-installierte reverse Proxy server - nur heute -
17 umgeleitete SOAP Schnittstellen zu Kunden ERP's oder Partnerfirmen - nur heute -
"IBM hat reagiert, und es wird ein Fix kommen."
Sag' DAS mal Kunden am Telefon... Vertragskündigung am gleichen Tag. Zu recht.
Sachlich faktisch fest steht auch:
Es gibt ab sofort keine sha-1 SSL Zertifikate mehr von fast keinem Zertifikat-Aussteller.
--> keinerlei N/D bas. SSL Webseiten mehr, weltweit
Die Browserhersteller kündigen an, sha-1 bzw. SSL-3 fall backs in Kürze nicht mehr zuzulassen.
--> keinerlei Zugang zu N/D bas. SSL Webseiten mehr, weltweit
Läßt man derzeit eine zusätzliche Domain (z.B. neuer Kunde) in ein bestehendes sha-1 Multi-Domain Zertifikat hinzufügen,
bekommt man automatisch ein sha-2 Zertifikat zurück geliefert - obwohl das Zertifikat bisher ein sha-1 Zertifikat war.
Mit dem Ergebnis in N/D, dass das gesamte Zertifikat nicht mehr nutzbar ist.
Das ist nicht irgendein Bug in irgendeiner @-Formel,
das ist ein Existenz - ielles Sicherheitsproblem.
Diskutieren wir zu scharf? Ist das "rumgetröte" ?
Nein. Es dürfte diese Diskussion überhaupt nicht geben:
Using anything less than the maximum available security options is necessarily insecure.
Das sollte das unbedingte Motto eines professionellen Webserver-Herstellers sein.
In den offiziellen IBM Foren wird derzeit von "death knell", "end of domino", "most critical ever", etc diskutiert.
http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=026BD2D47421025985257D7200452B47
http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=0BBA1D75D92075FC85257D3B006FABB8
Dieser Poodle beißt N/D richtig tief in die Wade - und hat möglicherweise die Tollwut.
"könntest Du ja mal Tipps geben, wie man das Problem umgeht..."
Das würde ich gerne - es gibt aber bisher keine - weltweit.
IBM HTTP Server (IHS) (32bit, win only, HTTP only) ist keine Lösung.
Die kann diesmal einzig und allein von IBM kommen.
Dem galt und gilt mein dringender Aufruf von oben.
Ich bin kein Troll. Mit der Bitte um Verständnis.
Gruß,
Uwe
-
Guten Morgen Uwe,
ja, die IBM hat sich hier wirklich blamiert. Aber dennoch bist Du mit Deinem Verhalten hier fehl am Platz.
... Denn darum geht es hier: anderen mit Ihren Fragen und Problemen zu helfen, und nicht auf IBM einzuschlagen... Atnotes ist nicht IBM, und die wenigsten hier arbeiten bei denen. Und die meisten sind vermutlich, was die ganze aktuelle ssl Thematik angeht, Deiner Meinung, nur Dein polemisches rumgetröte, wie sch... iBM ist, hilft keinem weiter...
Tode hat es m.E. recht gut zusammen gefasst.
Ja, IBM hat Mist gebaut und fängt an, es zu begreifen. Fängt an bezieht sich auf ...in a few weeks....
Ja, damit gefährden Sie den Ruf und die Existenz von Notes mehr als mit ihrem -in meinen Augen miserablen Marketing- der letzten 10 Jahre
Ja, wer seine Dominos direkt nach draußen stellt, hat ein Problem
ABER - hier ist nich IBM, hier sind wenig bis keine IBM-Angestellten. (Die Hotliner, die hier zur kostenfreien Weiterbildung mitlesen, lassen wir mal außen vor.) Das stört mich und die anderen hier.
Bei uns läuft -mal wieder- die Diskussion "Notes raus, gebt uns endlich Outlook". Wenn die Großkopferten solche Threads lesen, ist das Öl auf die Mühlen. Und es hilft nichts. Wie gesagt, hier ist nicht IBM.
Musste ich als langjähriger atNotesler mal loswerden.
VG,
Axel
-
Hallo Alex,
ABER - hier ist nich IBM
ja du hast recht, hier ist nicht IBM aber IBM ist hier.
Wenn man hier nicht über ein Sicherheitsloch bei Domino und das Verhalten von IBM diskutieren kann und die Notes-Gemeinde aufmerksamer machen kann, dann wo ...
-
Hi.
Habe ich gerade gesehen. Einfach nur als Teil der Sammlung
Sasa Brkic - How to use TLS and SHA-2 certificates in Domino Web Service Consumer (http://blog.squareone.ba/2014/10/how-to-use-tls-and-sha-2-certificates.html?utm_source=feedburner&utm_medium=twitter&utm_campaign=Feed%3A+lsoy+%28Lotus+Shade+of+Yellow%29)
Und ich kenne mich damit nicht aus. ::)
-
Bei dem ganzen SSL Thema fehlt mir noch die SNI unterstützung :-)
-
TLS 1.2 wird auch nicht erwähnt ....
-
Könnte das ganze auch Einfluß auf Traveler haben?
https://developer.apple.com/news/?id=10222014a
-
Soweit ich weiß nein, aber Du solltest im Zweifelsfall via PMR bei IBM nachfragen, da bekommst Du offizielle Antwort.
-
Danke für Deine Meinung!
-
TLS 1.2 wird auch nicht erwähnt ....
Warum sollte es erwähnt werden?
Der Patch wird nur die Version 1.0 unterstützen.
Mal eine kleine Übersicht:
TLS 1.0 - 1999
TLS 1.1 - 2006
TLS 1.2 - 2008
TLS 1.3 - draft 07/2014
SHA-2 support ist aber dabei, das ist doch schon mal positiv.
-
Andrew:
Der Patch wird nur die Version 1.0 unterstützen.
Das befürchte ich auch.
Nimmt man Andrews Tabelle
Mal eine kleine Übersicht:
TLS 1.0 - 1999
TLS 1.1 - 2006
TLS 1.2 - 2008
TLS 1.3 - draft 07/2014
in Verbindung mit m3's Post
TLS 1.2 wird auch nicht erwähnt ....
und liest man dieses IBM Webcast
http://www-01.ibm.com/support/docview.wss?uid=swg27039743
ihs und domino: "They are very different HTTP servers; one is based on Apache server and one is Domino (homegrown about 15 years ago)."
(2014 - 15 Jahre = 1999)
kann man das erwarten.
Ein alsbaldiger TLS 1.0 Fix wäre ein Riesen-Schritt für Domino.
Da SSL-3 und TLS 1.0 aber nicht sehr weit auseinander liegen,
ist die Frage, ob das ausreicht...
WildVirus:
Decke drüber?
Wer darüber redet - ist hier fehl am Platz?
Das Thema eskaliert in allen N/D Foren weltweit.
Zum Glück.
Das atnotes.de Forum ist zusammen mit dem dominoforum.de
sicherlich der 95-prozentige Treffpunkt aller N/D Experten in DACH.
Das MUSS hier rein.
Ob hier direkt nun ein paar IBM Mitarbeiter "mitlesen" oder nicht - ist mir sowas von egal.
IBM muss die weltweite Eskalation dieses Topics mitbekommen.
Die müssen aufwachen. Der Wecker muß klingeln. Überall !
Dein Arbeitsplatz ist sicherer danach als davor.
Genauso wie meiner.
Gruß,
Uwe
-
TLS 1.2 wird auch nicht erwähnt ....
Warum sollte es erwähnt werden?
Der Patch wird nur die Version 1.0 unterstützen.
Mal eine kleine Übersicht:
TLS 1.0 - 1999
TLS 1.1 - 2006
TLS 1.2 - 2008
TLS 1.3 - draft 07/2014
SHA-2 support ist aber dabei, das ist doch schon mal positiv.
Aber IMHO zu wenig.
Ohne TLS 1.2 gibt es nur den RC4 cipher, der (serverseitig) gegen die BEAST (http://www.educatedguesswork.org/2011/09/security_impact_of_the_rizzodu.html) Attacke hilft. Und RC4 wird nicht mehr als sicher angesehen (http://blogs.technet.com/b/srd/archive/2013/11/12/security-advisory-2868725-recommendation-to-disable-rc4.aspx).
Also bräuchten wir TLS 1.2 Support eigentlich wie einen Bissen Brot.
-
Bezüglich Traveler habe ich noch folgendes gefunden:
http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=8906EA6748C9CFFC85257D7B0032AD66#FB43F3EC7CD77D4385257D7B006BF894
-
Ich steh da weit draussen.
Ich war übrigens bei den letzten beiden erfolgreichen Gesprächen zwecks Projekt-Akquise einigermassen schockiert über die Detailliertheit mit denen da auf XSS und SQL Injektion rumgeritten wurde. Ich konnte da alles andere als druckreif liefern, vermittelte aber nach Ansicht der Interviewer den Eindruck, dass mir die entsprechenden Probleme schon hinreichend bewusst waren.
Als ich dann die vorhandene Codebasis sah, verstand ich dann auch warum. Da war massiv viel Logik in JSPs, naiver JavaScript code - JavaScript ist ja nix für "wirkliche" Programmierer - und natives SQL, gerne in seitenlangen stored procedures. Ich selbst setze eigentlich seit 2003 auf frameworks wie hibernate/JPA und dann diese Kette an Webframeworks. Oft kamen da Einwände von wegen, dass das alles nur kompliziert und es low level ja viel, viel einfacher ginge. Nicht nur von n00bs sondern oft auch von Leuten, die in ihrer Freizeit rfcs lesen und von denen ich mir bash Tricks abschaue.
Der Framework-code wird von Leuten geschrieben, die einfach mehr Zeit haben, um sich auf Sicherheitsaspekte zu fokussieren. Natürlich muss man auch als Anwendungsprogrammierer eine Vorstellung davon haben, wie eine Web- oder Intranetanwendung angegriffen werden kann. Nur hilft es halt enorm, dass der Anwendungsentwickler bzw. die inhouse Administratoren von dem Bereitsteller des frameworks hinreichend unterstützt werden. Es gibt Schalter um die eingebaute Sicherheit in (Beispiel) JSF und JPA für einzelne features auszuschalten. Nur betätige ich die nie oder nur im äussersten Notfall mit eingehenden security review. Selbst bei hochmotivierten Mitgliedern der do it yourself Fraktion hab ich zu viele Lücken wg. übersehener Details gesehen.
In der frühen Hochkultur der Khmer war es ja auch Aufgabe der Staatsspitze, das grundlegende Bewässerungssystem in Ordnung und v.a. auch sicher zu halten. Oder das Straßennetz im Inka-Reich und in Rom.
Wenn es innerhalb von IBM "Realisten" beginnen das anders zu sehen, ist es wirklich höchste Eisenbahn, dass die Anwendungsentwickler/Administratoren die andere Seite innerhalb von IBM zu unterstützen. Weil es nämlich ansonsten eine Frage der Zeit ist, dass da wirklich mal eine Mine öffentlichkeitswirksam hochgeht.
Gruß Axel
-
Zum Traveler gibts jetzt auch eine Technote:
http://www-01.ibm.com/support/docview.wss?uid=swg21688179
-
bei mir häufen sich solche Mails:
Sie sind als Realisierungspartner der Seite „www.xxxxx.de“ im Impressum aufgeführt. Die Verschlüsselung der Seite erfolgt noch mit SSL Version 3, die seit durch die Poodle-Sicherheitslücke als äußerst unsicher gilt. Wir haben auf allen Browser in unserem Unternehmen bereits SSLv3 deaktiviert ....
Gibt es Anstrengungen von Ihrer Seite das Zertifikat auf eine neuere Version zu aktualisieren.
Mit dem Spruch "next few weeks" mache ich mich nur lächerlich.
-
Dann mach entsprechende PMRs auf und rede mit Deinen IBM Kontakten. Hier aufregen ist nur bedingt nützlich.
15 Jahre lassen sich halt nicht in 2 Tagen aufholen ...
-
Hallo Martin,
schon längst gemacht.
15 Jahre lassen sich halt nicht in 2 Tagen aufholen
noch peinlicher für IBM
-
Hallo Martin,
schon längst gemacht.
Gute Sache :)
-
Noch eine Technote: http://www-01.ibm.com/support/docview.wss?uid=swg21688547
-
Der Interims Fix ist verfügbar:
IBM Domino Interim Fixes to support TLS 1.0 which can be used to prevent the POODLE attack
http://www.lotus.com/ldd/dominowiki.nsf/dx/IBM_Domino_TLS_1.0
Generating a SHA-2 Keyring file
http://www.lotus.com/ldd/dominowiki.nsf/dx/Domino_keyring
Ging doch schneller als gedacht ;-)
-
Danke!
Ja, wenn man paar Jahre dabei ist, weiß man wie lange man dort üblicherweise braucht.
Da ist diese Geschwindigkeit Wahnsinn, da fühlt man sich ja an Lotus erinnert.
Bezüglich https:
Der Google Chrome bekommt diese oder nächste Woche eine neue Version ohne Fallback (im Dezember dann ganz ohne SSL3) und der Firefox der am 25.11. kommt wird SSL3 deaktiviert haben.
Für den IE gab es schon den Patch, der hat mit dem IE 11 sogar funktioniert, bei den älteren Browsern, hat der Patch TLS auch mal gleich mit abgeschaltet.
Alles wird gut!
-
Hallo,
habe diesen Fix durchgeführt... jedoch bekomme immernoch die Note "C" und bin sozusagen noch Angreifbar. Habt Ihr ein Tipp wie ich SSLv3 komplett deaktivieren kann ???
-
Versuche mal "SSL_DISABLE_RENEGOTIATE=1" und dann "restart task http".
Wie sieht es dann aus?
-
Habe es auch mal auf unserem Traveler installiert und ein neues offizielles Zertifikat aktiviert. Gleiches Problem wie bei Max.
Notes.ini Eintrag war bereits gesetzt.
-
Kann es sein das der Fix (Interim Fix 4 for Domino 8.5.3 Fix Pack 6) noch nicht für die Solaris Server da ist?
Die Datei 853FP6HF1021-sol.tar ist 0 Byte gross. (Nur zu sehen wenn man per FTP drauf geht)
Sollte man da noch warten oder bei IBM nachfragen?
-
Es sind nicht alle Dateien Downloadbar: Win32 / 64 Bit konnte ich downloaden, für Linux- Server sind die Files noch nicht da (Meldung "The requested URL /sar/CMA/LOA/04vei/0/901FP2SHF184_W32_standard.exe was not found on this server.") und die Client- Fixes sind auch noch nicht downloadbar.
-
Habe gerade das IF installiert und TSL 1.0 wird jetzt unterstützt - schon mal super.
Widerspricht sich die Aussage "rot" nicht gegen Aussage "grün"??
Leider habe ich auch keine Möglichkeit gefunden, SSL 3 auf dem Server ganz zu deaktivieren. Ist das überhaupt noch notwendig bezüglich "This server supports TLS_FALLBACK_SCSV to prevent protocol downgrade attacks"?
Danke.
(http://s14.directupload.net/images/141104/htz2jvbb.png)
-
so siehts wohl bei allen gerade aus. Denke IBM wird dazu sicherlich noch was schreiben.
-
Hallo Daniel,
IBM did not disable SSL 3.0 for compatibility reasons in this fist step. The first IF is intended to introduce TLS 1.0 to allow all applications to continue to work with Domino.....
-
Ich liebe die IBM Seiten. Die IF für 8.5.3 und 9.0 sind nicht mehr da, 9.0.1 geht...
Was ist denn nun schon wieder los?
-
Interims Fix ist da, siehe Daniel Nashed (http://blog.nashcom.de/nashcomblog.nsf/dx/domino-tls-1.0-sha-2-support-to-prevent-poodle-has-been-shipped-today.htm)
-
Interims Fix ist da, siehe Daniel Nashed (http://blog.nashcom.de/nashcomblog.nsf/dx/domino-tls-1.0-sha-2-support-to-prevent-poodle-has-been-shipped-today.htm)
Link is down:
Update 5.11.2014: Before I get more questions about it. The IF has been removed from the download site and will be back soon.
There was a missing fix that needed to be added that had nothing to do with the TLS changes.
-
Interim Fixes ab heute wieder verfügbar, habe sie gerade runtergeladen.
-
Für die Leute, die von SSLLabs ein "C" bekommen:
Nur folgende Ciphers aktiviert lassen:
- RC4 encryption with 128-bit key and MD5 MAC
- RC4 encryption with 128-bit key and SHA-1 MAC
-
ACHTUNG: Die "neuen" 9.0.1FP2IF1 sind andere als die "alten" vom 04.11.:
Download 04.11.: DominoServer_901FP2IF1_W32: 901FP2HF353_W32.exe
DominoServer_901FP2IF1_W64: 901FP2HF384_W64.exe
Download 07.11.: DominoServer_901FP2IF1_W32: 901FP2HF391_W32.exe
DominoServer_901FP2IF1_W64: 901FP2HF355_W64.exe
Also: Wer schon "zugeschlagen" hat: Auf jeden Fall NOCHMAL runterladen !!!!
-
Laut IBM:
Domino 9.0.1 Fix Pack 2 Interim Fix 1 (Initially released on Nov 3rd. Re-released on Nov 5th to include an extra bug fix for SPR# YDEN9KYL23, which is specific to a key rollover issue and is not related to the POODLE attack. To help identify what version you are running, the hotfix numbers that appear on the Server Console are provided below for both hotfix versions.)
Andreas
-
Ich habe dummerweise den Installer zur Erstversion (901FP2HF355) bei mir gelöscht. Zur Installation der neuen Version (901FP2HF384) muss ich aber zuerst die alte Version deinstallieren, dazu bräuchte ich aber den passenden Installer.
IBM hat den Download ja ersetzt und bietet die alte Version nicht mehr an.
Gibt es eine andere Möglichkeit den alten HF wieder loszuwerden bzw. kann mir jemand den passenden Installer (901FP2HF355_W64.exe) zur Verfügung stellen?
Gilbert
-
Ging mir genau so. ;)
Hier ist das 355er Teil. Damit klappts.
Leider zu groß zum Hochladen auf atnotes, daher hier zum Download:
http://cloud-65.datenbanken24.de/apps/dms/public.nsf/index?readform&FN=F1
Gruß,
Uwe
-
Vielen herzlichen Dank Uwe, hat mein Wochenende gerettet.
Gilbert
-
Hallo, welche Nachteile hat es wenn der alte Fix installiert bleibt statt des neuen? Weiß das jemand? Oder ist es egal?
Danke.
-
siehe http://www-01.ibm.com/support/docview.wss?uid=swg21657963
Es wurde der Fix für SPR YDEN9KYL23 hinzugefügt: Local ID is being overwritten by the copy in the ID Vault during Rollover/Recertification even though local ID is up
Das hat aber nichts mit SSL zu tun, sondern ist eine andere Baustelle.
Andreas
-
Habe gerade das IF installiert und TSL 1.0 wird jetzt unterstützt - schon mal super.
Widerspricht sich die Aussage "rot" nicht gegen Aussage "grün"??
Leider habe ich auch keine Möglichkeit gefunden, SSL 3 auf dem Server ganz zu deaktivieren. Ist das überhaupt noch notwendig bezüglich "This server supports TLS_FALLBACK_SCSV to prevent protocol downgrade attacks"?
Danke.
(http://s14.directupload.net/images/141104/htz2jvbb.png)
Hallo zusammen,
gibt es dazu schon irgendwelche neuen Erkenntnisse? Ich habe bis jetzt keine Möglichkeit gefunden, SSLv3 komplett zu deaktivieren
und ich finde auch, dass sich die rote und die grüne Aussage beim SSL Labs Test wiedersprechen.
Gruß
marco
-
also ich komme nun auf B
Hast Du das gemacht?
Für die Leute, die von SSLLabs ein "C" bekommen:
Nur folgende Ciphers aktiviert lassen:
- RC4 encryption with 128-bit key and MD5 MAC
- RC4 encryption with 128-bit key and SHA-1 MAC
-
Hallo hallo.dirk,
ups, das hatte ich übersehen. Aber wie und wo stelle ich das ein?
Hast Du das "SSL_DISABLE_RENEGOTIATE=1" in der notes.ini auch eingetragen?
Gruß
marco
-
Hast Du das "SSL_DISABLE_RENEGOTIATE=1" in der notes.ini auch eingetragen?
Ja habe ich, das andere stellst Du im Serverdokument unter Ports/Internet Ports/ Abschnitt SSL Settings unter SSL ciphers ein.
Einfach auf den Button Modify klicken.
HTTP neu starten
-
Hat funktioniert. Vielen Dank für die schnelle Hilfe!
Gruß
marco
-
Also wenn ich...
SSL-Verschlüsselungscodes:
RC4-Verschlüsselung mit 128-Bit-Schlüssel und MD5 MAC
RC4-Verschlüsselung mit 128-Bit-Schlüssel und SHA-1 MAC
und...
notes.ini = SSL_DISABLE_RENEGOTIATE=1
und den http task neu starte komme ich bei Protocol Support nur auf 70 % und damit auf ein B.
Wie soll ich da auf ein A kommen??
Verwende Domino 9.0.1FP2HF384
-
Weil Domino nur TLS 1.0 spricht
-
Hallo,
kaum gefixt, schon die nächste Lücke.
Laut Computerwoche gibt es einen Bug im TLS-Protokoll
http://www.computerwoche.de/a/poodle-bleibt-gefaehrlich,3090507?tap=49013795626e99966349b36e72f183aa&r=563678010357285&lid=380035&pm_ln=41
Und laut dem Scan von SSL Labs ist Domino anfällig.
Gruß
Thomas
-
Hallo,
hat bereits jemand seine Domino Web-Server auf die TLS Poodle Schwachstelle getestet? Ich meine nicht die SSLv3 Poodle Lücke, sondern die "neue" TLS Poodle Lücke.
Angeblich soll es nur die F5 betreffen. Ein check bei https://www.ssllabs.com/ssltest sagt mit allerdings, dass mein Domino Webserver "This server is vulnerable to the POODLE attack against TLS servers. Patching required. Grade set to F".
Wie sieht das bei Euch aus?
Grüße, Daniel
-
Weils grad passt: http://www-01.ibm.com/support/docview.wss?uid=swg27044211
(Wir haben auch wieder F)
-
??? Ich bekomme heute immer noch ein B, allerdings bin ich mittlerweile nun auf 9.0.1 FP2 mit dem HF..
-
Hallo, ich habe gerade mal versucht ein SHA-256 Zertifikat auf unserem Traveler zu installieren. Muss auf dem Domino mit aktuellen Fixes noch etwas dazu aktiviert werden?
Irgendwie will der das nicht aktzeptieren?
Das SHA-1 ist kein Problem.
Danke.
-
Wir haben auch noch "B"
mit 9.0.1 FP2, HF 384
btw:
@Tode. Du hast immer noch den Fehler (Zahlendreher) im Post #60
HF 384 ist der neuere 64bit Fix
Gruß,
Uwe
-
Da ja nun auch TLS betroffen sein soll, stellen scheinbar einige Provider erneut um. Somit ist das Senden auch mit FP2 IF2 z.B. mit web.de und MS Live Mail Account nun wieder nicht mehr möglich. Ich denke, weitere Provider werden nachziehen...
-
Daniel Nashed hat in seinem Blog eine schönen Artikel zum Thema geschrieben, siehe
http://blog.nashcom.de/nashcomblog.nsf/dx/new-domino-poole-iussue-now-with-tls.htm
Relevanter IBM KB Eintrag siehe http://www-01.ibm.com/support/docview.wss?uid=swg21254333
-
OK, also wenn man den IBM HTTP Server mit Domino betreibt und in der domino.conf
die "SSLCipherSpec 35" setzt, ist das Ding gegen Poodle TLS geschützt.
http://www-01.ibm.com/support/docview.wss?uid=swg21112074
Danke für den Hinweis auf den Blog Eintrag von Daniel Nashed.
-
Und schon gibt es einen Fix von IBM: http://www-01.ibm.com/support/docview.wss?uid=swg21693142&myns=swglotus&mynp=OCSSKTMJ&mync=E&cm_sp=swglotus-_-OCSSKTMJ-_-E
IF3 für 9.0.1 behebt also den TLS Poddle Bug... Jetzt hängen Sie sich ja gerade ech rein...
-
Darf ich bei diesen Interim Fixes eigentlich analog zu den Fix-Packs davon ausgehen, dass die vorherigen Interim-Fixes integriert sind?
Gruß
Thomas
-
im Normalfall ist das so, ja. Es sei denn, es handelt sich um einzelne Files die auszutauschen sind. Im Zweifel steht aber immer in der Beschreibung des IF, was es alles enthält.