Autor Thema: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?  (Gelesen 56207 mal)

Offline shiraz

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 648
  • Geschlecht: Männlich
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #40 am: 28.10.14 - 10:18:41 »
bei mir häufen sich solche Mails:

Zitat
Sie sind als Realisierungspartner der Seite „www.xxxxx.de“ im Impressum aufgeführt. Die Verschlüsselung der Seite erfolgt noch mit SSL Version 3, die seit durch die Poodle-Sicherheitslücke als äußerst unsicher gilt. Wir haben auf allen Browser in unserem Unternehmen bereits SSLv3 deaktiviert ....
Gibt es Anstrengungen von Ihrer Seite das Zertifikat auf eine neuere Version zu aktualisieren.

Mit dem Spruch "next few weeks" mache ich mich nur lächerlich.



Gruß
Christian

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #41 am: 28.10.14 - 10:57:47 »
Dann mach entsprechende PMRs auf und rede mit Deinen IBM Kontakten. Hier aufregen ist nur bedingt nützlich.
15 Jahre lassen sich halt nicht in 2 Tagen aufholen ...
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline shiraz

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 648
  • Geschlecht: Männlich
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #42 am: 28.10.14 - 11:44:06 »
Hallo Martin,

schon längst gemacht.

Zitat
15 Jahre lassen sich halt nicht in 2 Tagen aufholen
noch peinlicher für IBM
Gruß
Christian

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #43 am: 28.10.14 - 22:04:46 »
Hallo Martin,

schon längst gemacht.
Gute Sache :)
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline Micha B

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.922

Offline (h)uMan

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.056
  • Geschlecht: Männlich
  • Wird schon ...
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #45 am: 04.11.14 - 07:33:19 »
Der Interims Fix ist verfügbar:

IBM Domino Interim Fixes to support TLS 1.0 which can be used to prevent the POODLE attack
http://www.lotus.com/ldd/dominowiki.nsf/dx/IBM_Domino_TLS_1.0

Generating a SHA-2 Keyring file
http://www.lotus.com/ldd/dominowiki.nsf/dx/Domino_keyring


Ging doch schneller als gedacht ;-)
« Letzte Änderung: 04.11.14 - 08:16:10 von (h)uMan »
Beste Grüße, Uwe

Offline Andrew Harder

  • Senior Mitglied
  • ****
  • Beiträge: 295
  • Geschlecht: Männlich
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #46 am: 04.11.14 - 09:03:11 »
Danke!

Ja, wenn man paar Jahre dabei ist, weiß man wie lange man dort üblicherweise braucht.
Da ist diese Geschwindigkeit Wahnsinn, da fühlt man sich ja an Lotus erinnert.

Bezüglich https:
Der Google Chrome bekommt diese oder nächste Woche eine neue Version ohne Fallback (im Dezember dann ganz ohne SSL3) und der Firefox der am 25.11. kommt wird SSL3 deaktiviert haben.
Für den IE gab es schon den Patch, der hat mit dem IE 11 sogar funktioniert, bei den älteren Browsern, hat der Patch TLS auch mal gleich mit abgeschaltet.

Alles wird gut!
Andy

Offline meinnameistmax

  • Frischling
  • *
  • Beiträge: 1
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #47 am: 04.11.14 - 10:32:09 »
Hallo,

habe diesen Fix durchgeführt... jedoch bekomme immernoch die Note "C" und bin sozusagen noch Angreifbar. Habt Ihr ein Tipp wie ich SSLv3 komplett deaktivieren kann  ???



« Letzte Änderung: 04.11.14 - 11:31:17 von meinnameistmax »

Offline Ice-Tee

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 725
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #48 am: 04.11.14 - 11:42:38 »
Versuche mal "SSL_DISABLE_RENEGOTIATE=1" und dann "restart task http".
Wie sieht es dann aus?

Offline Tannibal

  • Senior Mitglied
  • ****
  • Beiträge: 253
  • Geschlecht: Männlich
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #49 am: 04.11.14 - 13:01:22 »
Habe es auch mal auf unserem Traveler installiert und ein neues offizielles Zertifikat aktiviert. Gleiches Problem wie bei Max.
Notes.ini Eintrag war bereits gesetzt.
Gruß, Daniel
----------------
16x Domino 12.0.2FP1
inkl. Traveler , LEI, Sametime, Connections
1,2k Notes-Clients 10/12

Offline pimpfling

  • Senior Mitglied
  • ****
  • Beiträge: 367
  • Geschlecht: Männlich
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #50 am: 04.11.14 - 13:09:38 »
Kann es sein das der Fix (Interim Fix 4 for Domino 8.5.3 Fix Pack 6) noch nicht für die Solaris Server da ist?
Die Datei 853FP6HF1021-sol.tar ist 0 Byte gross. (Nur zu sehen wenn man per FTP drauf geht)
Sollte man da noch warten oder bei IBM nachfragen?
Gruß Stefan

----------------------------------
EDV-Systeme verarbeiten, womit sie gefüttert werden. Kommt Mist rein, kommt Mist raus.

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #51 am: 04.11.14 - 13:20:00 »
Es sind nicht alle Dateien Downloadbar: Win32 / 64 Bit konnte ich downloaden, für Linux- Server sind die Files noch nicht da (Meldung "The requested URL /sar/CMA/LOA/04vei/0/901FP2SHF184_W32_standard.exe was not found on this server.") und die Client- Fixes sind auch noch nicht downloadbar.
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline Ice-Tee

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 725
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #52 am: 04.11.14 - 13:29:31 »
Habe gerade das IF installiert und TSL 1.0 wird jetzt unterstützt - schon mal super.
Widerspricht sich die Aussage "rot" nicht gegen Aussage "grün"??
Leider habe ich auch keine Möglichkeit gefunden, SSL 3 auf dem Server ganz zu deaktivieren. Ist das überhaupt noch notwendig bezüglich "This server supports TLS_FALLBACK_SCSV to prevent protocol downgrade attacks"?
Danke.


Offline Tannibal

  • Senior Mitglied
  • ****
  • Beiträge: 253
  • Geschlecht: Männlich
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #53 am: 04.11.14 - 13:38:00 »
so siehts wohl bei allen gerade aus. Denke IBM wird dazu sicherlich noch was schreiben.
Gruß, Daniel
----------------
16x Domino 12.0.2FP1
inkl. Traveler , LEI, Sametime, Connections
1,2k Notes-Clients 10/12

Offline shiraz

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 648
  • Geschlecht: Männlich
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #54 am: 04.11.14 - 13:47:33 »
Hallo Daniel,
 

IBM did not disable SSL 3.0 for compatibility reasons in this fist step. The first IF is intended to introduce TLS 1.0 to allow all applications to continue to work with Domino.....

« Letzte Änderung: 05.11.14 - 08:19:38 von shiraz »
Gruß
Christian

Glombi

  • Gast
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #55 am: 04.11.14 - 18:47:11 »
Ich liebe die IBM Seiten. Die IF für 8.5.3 und  9.0 sind nicht mehr da, 9.0.1 geht...
Was ist denn nun schon wieder los?

Offline WildVirus

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 658
  • Geschlecht: Männlich
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #56 am: 04.11.14 - 20:13:51 »
Interims Fix ist da, siehe Daniel Nashed

Offline pimpfling

  • Senior Mitglied
  • ****
  • Beiträge: 367
  • Geschlecht: Männlich
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #57 am: 05.11.14 - 12:46:07 »
Interims Fix ist da, siehe Daniel Nashed

Link is down:

Update 5.11.2014: Before I get more questions about it. The IF has been removed from the download site and will be back soon.
There was a missing fix that needed to be added that had nothing to do with the TLS changes.
Gruß Stefan

----------------------------------
EDV-Systeme verarbeiten, womit sie gefüttert werden. Kommt Mist rein, kommt Mist raus.

Offline SC

  • Frischling
  • *
  • Beiträge: 46
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #58 am: 06.11.14 - 16:10:02 »
Interim Fixes ab heute wieder verfügbar, habe sie gerade runtergeladen.

Offline knoedel0815

  • Aktives Mitglied
  • ***
  • Beiträge: 167
Re: SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
« Antwort #59 am: 07.11.14 - 00:03:15 »
Für die Leute, die von SSLLabs ein "C" bekommen:

Nur folgende Ciphers aktiviert lassen:
- RC4 encryption with 128-bit key and MD5 MAC
- RC4 encryption with 128-bit key and SHA-1 MAC

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz