SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?

[Tode]

ACHTUNG: Die "neuen" 9.0.1FP2IF1 sind andere als die "alten" vom 04.11.:

Download 04.11.:

DominoServer_901FP2IF1_W32: 901FP2HF353_W32.exe
DominoServer_901FP2IF1_W64: 901FP2HF384_W64.exe

Download 07.11.:

DominoServer_901FP2IF1_W32: 901FP2HF391_W32.exe
DominoServer_901FP2IF1_W64: 901FP2HF355_W64.exe

Also: Wer schon "zugeschlagen" hat: Auf jeden Fall NOCHMAL runterladen !!!!

[Glombi]

Laut IBM:
Domino 9.0.1 Fix Pack 2 Interim Fix 1 (Initially released on Nov 3rd. Re-released on Nov 5th to include an extra bug fix for SPR# YDEN9KYL23, which is specific to a key rollover issue and is not related to the POODLE attack. To help identify what version you are running, the hotfix numbers that appear on the Server Console are provided below for both hotfix versions.)

Andreas

[Chilli]

Ich habe dummerweise den Installer zur Erstversion (901FP2HF355) bei mir gelöscht. Zur Installation der neuen Version (901FP2HF384) muss ich aber zuerst die alte Version deinstallieren, dazu bräuchte ich aber den passenden Installer.

IBM hat den Download ja ersetzt und bietet die alte Version nicht mehr an.
Gibt es eine andere Möglichkeit den alten HF wieder loszuwerden bzw. kann mir jemand den passenden Installer (901FP2HF355_W64.exe) zur Verfügung stellen?

Gilbert

[datenbanken24]

Ging mir genau so.   

Hier ist das 355er Teil. Damit klappts.

Leider zu groß zum Hochladen auf atnotes, daher hier zum Download:
http://cloud-65.datenbanken24.de/apps/dms/public.nsf/index?readform&FN=F1

Gruß,
Uwe

[Chilli]

Vielen herzlichen Dank Uwe, hat mein Wochenende gerettet.

Gilbert

[Ice-Tee]

Hallo, welche Nachteile hat es wenn der alte Fix installiert bleibt statt des neuen? Weiß das jemand? Oder ist es egal?
Danke.

[Glombi]

siehe http://www-01.ibm.com/support/docview.wss?uid=swg21657963

Es wurde der Fix für SPR YDEN9KYL23 hinzugefügt: Local ID is being overwritten by the copy in the ID Vault during Rollover/Recertification even though local ID is up

Das hat aber nichts mit SSL zu tun, sondern ist eine andere Baustelle.

Andreas

[marco]

Habe gerade das IF installiert und TSL 1.0 wird jetzt unterstützt - schon mal super.
Widerspricht sich die Aussage "rot" nicht gegen Aussage "grün"??
Leider habe ich auch keine Möglichkeit gefunden, SSL 3 auf dem Server ganz zu deaktivieren. Ist das überhaupt noch notwendig bezüglich "This server supports TLS_FALLBACK_SCSV to prevent protocol downgrade attacks"?
Danke.

Hallo zusammen,

gibt es dazu schon irgendwelche neuen Erkenntnisse? Ich habe bis jetzt keine Möglichkeit gefunden, SSLv3 komplett zu deaktivieren
und ich finde auch, dass sich die rote und die grüne Aussage beim SSL Labs Test wiedersprechen.

Gruß
marco

[hallo.dirk]

also ich komme nun auf B

Hast Du das gemacht?

Für die Leute, die von SSLLabs ein "C" bekommen:

Nur folgende Ciphers aktiviert lassen:
- RC4 encryption with 128-bit key and MD5 MAC
- RC4 encryption with 128-bit key and SHA-1 MAC

[marco]

Hallo hallo.dirk,


ups, das hatte ich übersehen. Aber wie und wo stelle ich das ein?

Hast Du das "SSL_DISABLE_RENEGOTIATE=1" in der notes.ini auch eingetragen?

Gruß
marco

[hallo.dirk]

Hast Du das "SSL_DISABLE_RENEGOTIATE=1" in der notes.ini auch eingetragen?

Ja habe ich, das andere stellst Du im Serverdokument unter Ports/Internet Ports/ Abschnitt SSL Settings unter SSL ciphers ein.
Einfach auf den Button Modify klicken.

HTTP neu starten

[marco]

Hat funktioniert. Vielen Dank für die schnelle Hilfe!

Gruß
marco

[Ice-Tee]

Also wenn ich...

SSL-Verschlüsselungscodes:
RC4-Verschlüsselung mit 128-Bit-Schlüssel und MD5 MAC
RC4-Verschlüsselung mit 128-Bit-Schlüssel und SHA-1 MAC

und...
notes.ini = SSL_DISABLE_RENEGOTIATE=1

und den http task neu starte komme ich bei Protocol Support nur auf 70 % und damit auf ein B.
Wie soll ich da auf ein A kommen??

Verwende Domino 9.0.1FP2HF384

[hallo.dirk]

Weil Domino nur TLS 1.0 spricht

[Mr.Langhaar]

Hallo,

kaum gefixt, schon die nächste Lücke.

Laut Computerwoche gibt es einen Bug im TLS-Protokoll
http://www.computerwoche.de/a/poodle-bleibt-gefaehrlich,3090507?tap=49013795626e99966349b36e72f183aa&r=563678010357285&lid=380035&pm_ln=41

Und laut dem Scan von SSL Labs ist Domino anfällig.

Gruß
Thomas

[daija]

Hallo,

hat bereits jemand seine Domino Web-Server auf die TLS Poodle Schwachstelle getestet? Ich meine nicht die SSLv3 Poodle Lücke, sondern die "neue" TLS Poodle Lücke.
Angeblich soll es nur die F5 betreffen. Ein check bei https://www.ssllabs.com/ssltest sagt mit allerdings, dass mein Domino Webserver "This server is vulnerable to the POODLE attack against TLS servers. Patching required. Grade set to F".

Wie sieht das bei Euch aus?

Grüße, Daniel

[pram]

Weils grad passt: http://www-01.ibm.com/support/docview.wss?uid=swg27044211
(Wir haben auch wieder F)

[hallo.dirk]

  Ich bekomme heute immer noch ein B, allerdings bin ich mittlerweile nun auf 9.0.1 FP2 mit dem HF..

[Ice-Tee]

Hallo, ich habe gerade mal versucht ein SHA-256 Zertifikat auf unserem Traveler zu installieren. Muss auf dem Domino mit aktuellen Fixes noch etwas dazu aktiviert werden?
Irgendwie will der das nicht aktzeptieren?
Das SHA-1 ist kein Problem.

Danke.

[datenbanken24]

Wir haben auch noch "B"
mit 9.0.1 FP2, HF 384

btw:
@Tode. Du hast immer noch den Fehler (Zahlendreher) im Post #60
HF 384 ist der neuere 64bit Fix

Gruß,
Uwe