CVE-2013-0127;CVE-2013-0538; IF1 für Notes 9 & 8.53 FP4

[mezz]

Trotzdem habe ich eben mal ein bisschen recherchiert und bin der Meinung, dass <Leerzeichenapplet oder Leerzeichenapplet> nicht mehr sauber erkannt werden kann, zumindest laut Definition von w3.org.
Also dürfte hier nichts anbrennen...

Das Problem ist das unmöglich ist vorherzusagen ob nicht der ein oder andere vermeintlich "unglütige" HTML-Ausdruck doch von der Engine interpretiert wird, wenn du also anfängst nach bestimmten Zeichenketten zu filtern begibst du dich damit auf sehr dünnes Eis.

Richtig wäre hier entweder den Fix zu installieren (wodurch offenbar Probleme bei einigen Umgebungen auftreten) oder den empfohlenen Workaround zu verwenden. Wenn beides nicht geht bleibt dir natürlich nicht viel anderes übrig als etwas zu basteln, dennoch sollte man hier eher darauf hinwirken das sich bei IBM etwas bewegt - also Druck ausüben bei IBM und lass dir von denen sagen was du tun kannst.

Dieses "ich frikel mir was zusammen und damit können wir gut leben" ist in meinen Augen ganz schlechte Praxis.

[it898ur]

Ein Problem ist hier das schon angesprochene 2. Problem JavaScript - damit kann man ganz problemlos zur Laufzeit neue HTML-Tags einfügen und da sind der Creativität des Zusammenbauens keine Grenzen gesetzt !

Gruß

André

[pram]

wie André schon schrieb, ist es fast unmöglich, auf "<applet" zu filtern. Hier ein paar Beispiele (ob sie tatsächlich funktionieren, habe ich jetzt nicht geprüft)

mit

Code

<script type="text/javascript">document.write("<ap" + "plet>....</ap"+"plet>")</script>

wäre dein Filter schon umgangen.

... dann kommt dein Argument, dass du halt dann noch auf "script" filterst.
... hast du auch ein "<img onload='document.write(...)'>" bedacht.

... dann filterst du noch auf "onload"
... obiges funktioniert auch noch (bedingt) mit onmouseover, onmouseout, ...

... dann filterst du nach "document.write" => "var d = document; d.write(....)" macht das Gleiche

... wenn du auf das auch noch alles gefiltert hast, dann lies auch nochmal das: [edit]link vorsichtshalber entfernt[/edit]

Hier ist meine Kreativität dann nun doch langsam am Ende, aber ich hoffe, es zeigt dir, dass dein Filter nicht wirklich filtert, da du nicht alle Eventualitäten berücksichtigen kannst

Am Entwicklercamp war ein interessanter Vortrag über genau das Thema: http://www.entwicklercamp.de/EC13/Track4Session4
Was aber ein Ansatz sein könnte, die "<" komplett zu entfernen. Wenn man Seite 11 aber gelesen hat, wird man hier auch wieder zweifeln.

Gruß
Roland

[hallo.dirk]

Na endlich habe ich genau die Argumente gefunden die ich suchte!
Danke Roland!

Kristall Kugel lesen ist eben nicht meine Stärke!
Daher fällt es mir schwer so lagne zu warten bis IBM mir eine Lösung präsentiert die man schnell umsetzen kann. Von daher war es naheliegend, sich die Heise Testmail zu schnappen und sie durch einen Content Filter  zu jagen..

[mezz]

Das Ganze anschaulich zu erklären ist auch nicht so einfach, zumal man sich damit wieder in rechtliche Grauzonen begibt wenn man anfängt Beispiele zu schreiben.

Den von Pram geposteten Link hätte ich z.b. nicht öffentlich verlinkt. Auch wenn es nur eine technische Beschreibung ist so hängt doch der ganze Quellcode des Wurms am Ende des  Dokumentes.  Das könnte man als "zugänglich machen" im Sinne von § 202c StGB verstehen.

[pram]

Hallo Mezz,

danke für die Info. Ich hab den Link mal vorsichtshalber raus genommen (hab ihn von Wikipedia bzw. google. Aber man weiß ja nie)
.. vielleicht sollte ich in meine Beispiele noch ein paar Fehler einbauen.

Gruß
Roland

[Micha B]

Inzwischen gibts eine offizielle Fehlerbeschreibung, ich teste gerade ob es unser Problem löst:

http://www-01.ibm.com/support/docview.wss?uid=swg21637068&myns=swglotus&mynp=OCSSKTWP&mync=E

Seit heute gibt es die Seite nicht mehr 

[Günther Rupitz]

FP4 und FP4 HF1 werden morgen neu veröffentlicht, daher stehen sie temporär nicht zum download zur verfügung

8.5.3 Fix Pack 4 (and subsequently 8.5.3 Fix Pack 4 Interim Fix 1) required a Microsoft runtime re-distributable to be included in the package. The run-time was missing a key file. A revised Interim Fix 1 for 8.5.3 Fix Pack 4 is being built and tested with a target reposting by end of day May 15th. Once available, the newly built Interim Fix 1 for 8.5.3 Fix Pack 4 will supersede Fix Pack 4.

Examples of impacted products include IBM i Access, Citrix ICA Client, Symantec Endpoint

zu lesen unter

http://www-01.ibm.com/support/docview.wss?uid=swg21636024&myns=swglotus&mynp=OCSSKTWP&mync=E

[Jörg P.]

Moin,

wir mussten feststellen, das mit allen Varianten des Fixpack 4 für Notes Std. 8.5.3 (auch das neueste Release FP4 SHF39) unsere ClientGenie ihre Dienste verweigert.
Kann das jemand reproduzieren?

Gruß
Jörg