01.07.2015

IBM Notes Traveler 9.0.1.6 erschienen

Category: IBM Notes Traveler, Administration

IBM Notes Traveler
Rund einen Monat nach der 9.0.1.5 kommt die Version 9.0.1.6 vom IBM Notes Traveler:

IBM Traveler Server 9.0.1.6-Downloads
IBM Traveler Server 9.0.1.6 Release Documentation
IBM Traveler Fixes by Release - 9.0.1.6

25.06.2015

Interims Fix 8 für IBM Domino 8.5.3 Fix Pack 6 erschienen

Category: Administration, IBM Domino, IBM Notes

IBM Domino
Nach dem 4. Fix Pack für IBM Domino 9.0.1 vor ein paar Tagen, hatte ich ja schon auf die entsprechende Aktualisierung der 8.5.3er Version gewartet. Heute hatte mein warten ein Ende:
IBM den Interims Fix 8 für IBM Domino 8.5.3 Fix Pack 6 heraus gebracht.

Natürlich ist wieder ein kritisches Sicherheitsloch geschlossen worden - dasselbe wie bei der 9.0.1FP4:

Security Bulletin: IBM Domino Web Server Cross-site Scripting Vulnerability

CVEID: CVE-2015-1981

Description: IBM Domino Web server configured for Webmail is vulnerable to cross-site scripting, caused by improper validation of user-supplied input. A remote attacker could exploit this vulnerability using a specially-crafted URL to execute script in a victim's Web browser within the security context of the hosting Web site, once the URL is clicked. An attacker could use this vulnerability to steal the victim's cookie-based authentication credentials. Note that Domino servers configured for iNotes are not vulnerable to this attack.

Weitere Informationen:
Interim Fixes for 8.5.3 Fix Pack 6 versions of IBM Notes, Domino & iNotes
Download IBM Domino 8.5.3 Fix Pack 6 Interims Fix 8
Security Bulletin: IBM Domino Web Server Cross-site Scripting Vulnerability (CVE-2015-1981)

23.06.2015

Rumors: IBM Connect 2016 in Orlando

Category: IBM ConnectED, Lotusphere, Konferenzen

The reader of this blog knows it as a source for hard technical facts. But sometimes rumors are to good to not spread them.

After IBM ConnectED 2015 it was unclear what the future for this conference will be. It seams that there might be a answer for this question.

IBM Connect 2016 - Save the date

The normally very good informed Volker Weber had his eyes open at the right time and spotted a hint for the IBM Connect 2016 conference in Orlando.

The venue has changed from the Disney Dolphin and Swan Hotels to the Hilton.

At the official site the teaser has been removed. But on the official twitter account it is still visible.

So watch out for more information.

Wherever the conference will be, we will be there.


22.06.2015

Neues Standardverhalten in XPages: Whitelist für Datenquellen

Category: XPages, Sicherheit, Entwicklung

IBM Domino Designer
Seit Domino 9.0.1 FixPack 4 gibt es eine Neuerung bei XPages-Datenquellen, womit jetzt nicht mehr beliebige Servernamen über den URL übergeben werden können.


Bis zu diesem Update war es möglich über den URL Parameter "databaseName" einen anderen Server und Datenbank an eine XPage zu übergeben. Die Parameter werden von der Datenquelle auf der XPage verwendet, sofern nicht die Option ignoreRequestParams="true" für die Datenquelle gesetzt ist.


Mit dem neuen Update werden andere Server, als der aktuelle, standardmäßig nicht mehr zugelassen. Eine Beispieladresse wie die folgende führt dann zu dem Fehler "The databaseName URL parameter value is not one of the allowed database names.":

http ://servername.example.com/discussion.nsf/allDocuments.xsp?search=agenda&databaseName=otherserver!!discussion_data.nsf


Über eine neue Option in der xsp.properties Datei der XPages-Anwendung (bzw. des Servers) können die erlaubten Server und Datenbanken konfiguriert werden:


xsp.data.domino.param.databaseName.whitelist=<currentServer>!!<anyApplication>, otherServer!!app.nsf, otherServer!!app2.nsf


Darüber hinaus gibt zwei weitere neue Optionen für xsp.properties Datei:
  • xsp.data.domino.ignoreRequestParams = false
    Bei setzen auf "true" werden anwendungsweit auf XPages die übergebenen Parameter ignoriert.
  • xsp.data.domino.param.databaseName.usage= whitelist | apply | ignore | error
    Separates steuern des "databaseName"-Parameters. "whitelist" ist das Standardverhalten seit Domino 9.0.1 FixPack 4, davor war es "apply" (uneingeschränkt anwenden), bei "ignore" oder "error" wird der Parameter generell ignoriert bzw. führt zu einem Fehler. Empfehlenswerte Einstellung ist hier "ignore", sofern man diesen Parameter nicht wirklich benötigt.


Quelle und weitere Informationen: Link

20.06.2015

Fix Pack 4 für IBM Notes und Domino 9.0.1 erschienen

Category: Administration, IBM Domino, IBM Notes

IBM NotesIBM Domino
IBM hat vor ein paar Tagen das 4. Fix Pack für IBM Notes und Domino 9.0.1 heraus gebracht.


Important Notes
  • 9.0.1 Fix Pack 4 updates the embedded Notes/Domino JVM to 1.6 SR16 FP4 to address security vulnerabilities.
  • 9.0.1 Fix Pack 4 adds support for the following: Safari 8 for iNotes; SiteMinder 12.52 SP1

Ein Tag später kam dann ein Security Bulletin, dass der "IBM Domino Web server configured for Webmail has a cross-site scripting vulnerability."

CVEID: CVE-2015-1981

Description: IBM Domino Web server configured for Webmail is vulnerable to cross-site scripting, caused by improper validation of user-supplied input. A remote attacker could exploit this vulnerability using a specially-crafted URL to execute script in a victim's Web browser within the security context of the hosting Web site, once the URL is clicked. An attacker could use this vulnerability to steal the victim's cookie-based authentication credentials. Note that Domino servers configured for iNotes are not vulnerable to this attack.

Weitere Informationen:
IBM Notes/Domino 9.0.1 Fix Pack 4 Release Notice
Download IBM Notes 9.0.1 Fix Pack 4
Download IBM Domino 9.0.1 Fix Pack 4
Security Bulletin: IBM Domino Web Server Cross-site Scripting Vulnerability (CVE-2015-1981)

12.06.2015

Domino von LogJam-Lücke in TLS nicht betroffen (Update 12.06.)

Category: Administration, IBM Domino, Sicherheit

IBM Domino
Tja...
Anfang der Woche schrieb ich bereits über eine bekannt gewordene Lücke in SSL/TLS nun folgt direkt die Nächste.

Diese nun LogJam genannte Lücke mit der CVE-ID "CVE-2015-4000" betrifft Server wie Clients gleichermaßen. Diese Lücke im DHE ermöglicht wohl einem "Man-In-The-Middle" eine Downgrade-Attack auf andere Verschlüsselungsstärken, so dass mitgeschnittener Netzwerkverkehr gelesen bzw. manipuliert werden kann.
Ich habe von IBM bisher keine offiziellen Statements gefunden, die eine Auskunft über die Betroffenheit der IBM-Produkte gibt. Wenn einer unserer Leser mehr weiß, ist er herzlich gebeten einen entsprechenden Kommentar zu hinterlassen .

Aber mehrere Dinge lassen sich sagen:
Domino kann vor 9.0.1 FP3 IF2 kein DHE. Ältere Domino-Versionen sind also deswegen schonmal nicht betroffen.

DHE muss in Domino 9.0.1 FP3 IF2 explizit eingestellt werden. In der Standardeinstellung ist Domino 9.0.1 FP3 IF2 also ebenfalls nicht betroffen.

Man kann seinen Server auf weakdhe.org auch testen lassen und erhält nebenbei auch Auskunft über die Verwundbarkeit seines Browsers . Darren Duke hat das einmal für einen seiner Domino-Server mit aktiviertem DHE getan und der Test bestätigt ihm keine Verwundbarkeit.
Wer sich nicht auf diese Webseite verlassen möchte oder Server testen möchte, die nicht im Web stehen, kann dies auch mit openssl tun.

Diese Aussagen ersetzen zwar m.E. kein offizielles Statement von IBM, lassen aber mit ausreichender Sicherheit vorläufig feststellen, dass
IBM Domino nicht von der LogJam-Lücke betroffen ist.

Update 12.06.2015

IBM hat in dieser Woche eine ganze Menge Bulletins zu Thema veröffentlicht. In keinem davon ist von Domino die Rede. Das könnte eine Bestätigung der obigen These sein.

04.06.2015

Sicherheitskritische Fehler in JVM behoben - JVM Patch SR16FP4

Category: IBM Domino, IBM Notes, Administration

IBM NotesIBM Domino
Als verantwortungsvoller und sicherheitsbewusster Domino-Administrator hat man ja in letzter Zeit Einiges zu tun, um immer auf dem aktuellen Stand zu bleiben. Für mich auffällig ist dabei, dass es immer wieder Lücken in eingebetteten "Fremdprodukten" sind - heute ist es mal wieder Java.

Der JVM Patch SR16FP4 bringt neue Sicherheit, die behobenen Probleme sind in der Technote Security Bulletin: Multiple vulnerabilities in IBM Java 6 SR16FP3 IF1 affect IBM Notes and Domino aufgelistet.

Quellen:
Download des JVM Patch SR16FP4 in der IBM Fix Central
Interim Fixes for 9.0.1.x versions of IBM Notes, Domino, iNotes & Notes Browser Plug-in
Interim Fixes for 8.5.3 Fix Pack 6 versions of IBM Notes, Domino & iNotes

03.06.2015

"nordjob" Messe 2015 Sparkassen-Arena-Kiel

Category: Veranstaltungen, Karriere

nordjob
In diesem Jahr sind wir auch auf der "nordjob" Messe in der Sparkassen-Arena-Kiel dabei und möchten Euch als zukünftige Auszubildende sowie BWL- oder Informatikabsolventen kennenlernen und spannende Gespräche mit Euch führen.

Ihr habt hier die perfekte Gelegenheit, euch über Ausbildungs- sowie Ein- und Aufstiegsmöglichkeiten in unserem Unternehmen, das in der innovativen IT-Dienstleistungsbranche tätig ist, zu informieren.

Wir bauen unser Team aus und suchen Auszubildende in den Berufen
  • IT-Systemkaufmann m/w
  • Fachinformatiker für Systemintegration m/w
  • Fachinformatiker für Anwendungsentwicklung m/w 
sowie Studenten aus den Bereichen 
  • Wirtschaftsinformatik, BWL und Informatik.
Sehr gerne vergeben wir auch Praktika und betreuen Euch bei Euren Bachelor- bzw. Master-Arbeiten.

Trefft uns am 09. & 10. Juni 2015 zwischen 08:30 und 14:45 Uhr in der Sparkassen-Arena-Kiel!

Kommt vorbei!

Wir freuen uns, Euch kennenzulernen und Eure Fragen zu beantworten!

01.06.2015

IBM Notes Traveler 9.0.1.5 erschienen

Category: IBM Notes Traveler, Administration

IBM Notes Traveler
In aller Kürze: IBM hat die Version 9.0.1.5 des IBM Notes Traveler heraus gebracht:

IBM Traveler Server 9.0.1.5-Downloads
IBM Traveler Server 9.0.1.5 Release Documentation
IBM Traveler Fixes by Release - 9.0.1.5

18.05.2015

Sicherheitslücke in SSL RC4 Cipher betrifft auch Domino

Category: Administration, IBM Domino, Sicherheit

IBM Domino
Die Welle der auf SSL bezogenen Sicherheitslücken reißt nicht ab. Diesmal betrifft es die Cipher RC4.
Mit dieser, "Bar Mitzvah" genannten, Sicherheitslücke kann ohne "Man-In-The-Middle" gesniffter Netzwerkverkehr zwischen einem beliebigen Client und Domino-HTTP entschlüsselt werden.

Diese Sicherheitslücke betrifft alle Domino-Server vor 9.0.1 FP3 IF2.

Wer in den letzten Monaten von uns einem Sicherheitsaudit unterzogen wurde, hat nichts mehr zu tun . Alle Anderen sollten die RC4 ciphers deaktivieren oder gleich auf die letzte Domino-Version aktualisieren, sofern möglich.

Kalender (Calendar)

Tags

Deutsche RSS-Feeds (German)

Custom Button Custom Button

English RSS feeds

Custom Button Custom Button