02.05.2013
Interim Fix 1 für IBM Notes 8.5.3FP4 und IBM Notes 9 veröffentlicht
Category: Lotus Notes, Lotus Domino, Sicherheit, Administration
IBM hat Interim Fix 1 für Notes 8.5.3 FP4 und Notes 9 freigegeben. Der Fix schließt einige Sicherheitslücken im Notes Client, die es erlauben über manipulierte HTML-Emails Java Applets von fremden Servern nachzuladen und auszuführen.
Read More
20.09.2012
Quick-Tipp: Weißt du, was deine App letzten Sommer getan hat?
Category: Quick-Tipp, iPhone, iPad, Mobile Device Management, Sicherheit
Wäre es nicht toll, wenn man vor der Installation einer App nachschauen könnte, was die so tun wird? Wenn es ein Verzeichnis gäbe, wo ganz viele Apps mit ihren "Risiken" aufgelistet wären?
Bitdefender, bekannter Hersteller von Anti-Viren-Programmen, hat sie die Mühe gemacht, genau so einen Katalog aufzubauen und der Allgemeinheit kostenlos zur Verfügung zu stellen: Clueful - Really know your iOS apps.
22.08.2012
Sicherheitslücke im Sametime Client
Category: Sicherheit, Sametime
IBM warnt aktuell vor einer Cross-Site Scripting - Lücke in den aktuellen Sametime-Clients (8.0.2, 8.5.1, 8.5.1.1, 8.5.2, 8.5.2), die Lücke ermöglicht es HTML/Scriptcode in Nachrichten einzubetten wodurch ggf. Schadcode ausgeführt werden kann.http://www-01.ibm.com/support/docview.wss?uid=swg21607903 (Details)
http://www-01.ibm.com/support/docview.wss?uid=swg21599114 (Fix)
08.07.2011
iPhone-Sperre nahezu nutzlos
Category: iPhone, iPad, Sicherheit
Ich habe gerade folgenden Artikel auf heise.de gelesen und das Video angesehen:iPhone-Sperre nahezu nutzlos
http://www.heise.de/newsticker/meldung/iPhone-Sperre-nahezu-nutzlos-1270786.html
Beeindruckend. Wenn man jetzt noch bedenkt, dass die iOS-Geräte in Unternehmen häufig von oben (Vorstand, Geschäftsführung) eingebracht, gegen den Rat sicherheitsbewusster IT-Leiter in die Messaging-Infrastruktur des Unternehmens integriert und dann von der Leitungsebene genutzt werden. :-O
Wann kommt jetzt Lidl/Schlecker/... "andersherum"? Überwachung von unten...
06.04.2011
iNotes 8.5 und Firefox 4 - Update
Category: Administration, Lotus Domino, iNotes, Sicherheit
IBM hat einen vorläufigen Fix für die Unterstützung von Firefox 4 in iNotes bereitgestellt:https://www-304.ibm.com/support/docview.wss?uid=swg21474006
- http://www.assono.de/blog/d6plinks/iNotes-8-5-and-Firefox-4
30.03.2011
iNotes 8.5 und Firefox 4
Category: Administration, Lotus Domino, iNotes, Sicherheit
Wer iNotes nutzt und die kürzlich [1] veröffentlichte Version 4 des Firefox- Browsers verwendet, hat derzeit ein Problem, da iNotes XUL [2] basierende Design-Elemente verwendet und die Unterstützung für diese eingestellt wurde (u.a. aufgrund immer wieder aufgetretener Sicherheitslücken).Read More
10.09.2010
Kritisches Sicherheitsproblem in vielen Domino-Web-Anwendungen
Category: Sicherheit, Lotus Domino, Web-Entwicklung, Entwicklung
In der Web-Entwicklung gilt gemeinhin der Leitspruch: "Eval is evil". Diese Aussage trifft natürlich besonders auf Script-Sprachen wie z.B. PHP zu. Nur allzu leicht gerät hier eine ungefilterte Benutzereingabe oder ein anderer manipulierbarer String in einen Aufruf der Funktion Eval, was dazu führt, dass potenziell gefährlicher Programmcode im Kontext des Web-Servers ausgeführt wird. Ein Szenario das in der Vergangenheit schon zu so manchen Problemen geführt hat.Viele Lotus Notes und Domino-Entwickler sehen in der aus LotusScript und Java bekannten Funktion Evaluate jedoch kaum eine Gefahr, da hier "nur" Formelsprachen-Ausdrücke ausgeführt werden, die im Web sogar noch zusätzlichen Beschränkungen unterliegen. Diese vermeintliche Sicherheit ist jedoch äußerst trügerisch.
Read More
02.08.2010
BlackBerry zu sicher?
Category: BlackBerry, Sicherheit
Oftmals höre ich im Zusammenhang mit BlackBerry-Mailing den Einwand, dass man RIM nicht vertrauen könne, weil die Infrastruktur-Server nicht in Deutschland (meines Wissens in London - für Deutschland zumindest) stehen und somit die deutschen Datenschutz-Gesetze nicht gelten, um die uns so manche andere Nation mal beneidet, mal belächelt.- Mir klingt noch der Ausdruck "Datenschütz" in den Ohren, als ein Däne mit einem leicht ironischen Lächeln über spezielle Probleme beim Einstieg in den deutschen Markt sprach -
In einer Heise-Meldung wird diese Diskussion neu aufgegriffen.
Anscheinend wollen einige Länder, in diesem speziellen Fall die Vereinigten Arabischen Emirate, BlackBerry-Verbindungen verbieten, weil diese durch Verschlüsselung "die nationale Sicherheit gefährden". Anders ausgedrückt: Big Brother kann nicht mithören.
Es hat bereits erste Verhaftungen gegeben.
Das sind gute Nachrichten für Nutzer - solange sie nicht in Dubai unterwegs sind ;)
14.06.2010
Kaspersky blockiert dojo JavaScript-Datei
Category: dojo, Web-Entwicklung, Entwicklung, Lotus Domino, Sicherheit
Screenshot dojo Kalender:
Nach einigem Ausprobieren stellte sich heraus, dass die Anti-Banner Komponente in der Kaspersky-Suite die JavaScript-Datei "popup.js" blockiert.
Ob das tatsächlich eine geeignete Art und Weise ist, vor unerwünschten Popups zu schützen, lassen wir mal dahingestellt sein.
Wer also ebenfalls in dem dojo-Artikel keinen Kalender sehen konnte, sollte einmal seinen Virescanner überprüfen.
16.02.2010
Sicherheit wird durch mobile Anwendungen herausgefordert
Category: BlackBerry, Administration, Sicherheit
Der geneigte Leser erinnert sich vielleicht noch an meinen Eintrag vom 28.10., in dem ich über die Sicherheit von Anwendungen auf dem BlackBerry sprach.
Heute erst stolpere ich über einen Eintrag auf heise.de, in dem Nicolas Seriot interviewt wird. Der hat sich intensiv mit dem Thema Apps auf dem iPhone auseinandergesetzt und das Ergebnis in einem kurzen, gut lesbaren Bericht veröffentlicht.
Die Kurzfassung ist, dass Apple trotz Prüfung nicht zu 100% sicherstellen kann, dass "Spyphone"-Apps im App-Store veröffentlicht werden können.
Das liegt unter anderem daran, dass diese Anwendungen auf bestimmte kritische "private" (bei RIM heißen diese Funktionen "signed") Funktionen untersucht werden, die unternehmenskritische Daten z.B. aus dem Speicher holen könnten.
Aber man auch ohne Aufruf dieser "privaten" Funktionen auf mehr oder weniger kritische Daten zugreifen kann, die in ihrer Gesamtheit unangenehm sein könnten.
Das sind unter Anderem:
- Kontakte (!)
- Geo-informationen
- Safari-Suchen
- Eingegebene Wörter (für Wortvorschläge) - ohne Passwörter
Selbst ohne die Kontakte lassen sich auf diese Weise detaillierte Profile über den Nutzer des Gerätes zusammenfügen.
Warum schreibe ich darüber?
Ich will keineswegs das iPhone schlecht machen - auch wenn ich dem Hype darum nicht unbedingt folgen kann/möchte - denn wie ich bereits vorher schrieb, ist das ein grundsätzliches Dilemma mobiler Anwendungen, dem sich auch RIM und andere Hersteller stellen müssen, die die Installation von zusätzlichen Applikationen erlauben.
Ich möchte viel mehr sensibilisieren.
Auf Ihrem Gerät - sei es ein iPhone, Blackberry, Nokia etc. - befinden sich Daten über Sie und Ihr Unternehmen, die Sie nicht jedem geben wollen/sollten.
Auf der anderen Seite haben Sie das berechtigte Interesse, die Benutzung Ihres Smartphones so komfortabel und produktiv wie möglich zu gestalten. Alle Smartphone-Hersteller ermöglichen es Ihnen daher inzwischen, eigene Anwendungen zu entwickeln, die den Nutzen erhöhen. Dafür wird auch der Zugriff auf Gerätefunktionen erlaubt, die eben auch sensible Daten preisgeben können.
Die Hersteller tun bereits sehr viel, um die Sicherheit zu erhöhen.
RIM und Apple verteilen Signaturen an entwickelnde Unternehmen oder Personen, die auf "signed" oder "private" Gerätefunktionen zugreifen wollen. Das macht es zumindest schon einmal möglich, den Urheber einer Anwendung zu identifizieren bzw. verhindert, dass Anwendungen, denen Sie vertrauen durch eine Hintertür geändert werden und auf einmal bösartigen Code enthalten.
Außerdem erlaubt Apple die Installation von Anwendungen nur über den App-Store, der jede Anwendung erst einmal prüft, bevor sie aufgenommen wird. In der RIM-AppWorld wird ebenfalls eine Prüfung erfolgen, aber RIM erlaubt auch die Installation über den BES oder gar den Desktop Manager. Was erst wie eine potentielle Lücke aussieht, hat den Vorteil, dass Sie maßgeschneiderte Eigenentwicklungen nicht für alle Welt zugänglich machen müssen, um sie zu installieren.
Wie Sie sehen, liegt es letztlich an Ihnen, welches Risiko Sie in Ihrem Unternehmen gestatten wollen. Vernageln Sie das Gerät, werden sich die Nutzer manchmal zu Recht, manchmal zu Unrecht beschweren, dass ihre wichtigen Anwendungen auf dem Gerät nicht installiert werden können oder nicht funktionieren. Sie vertun hier viele Chancen. Ergreifen Sie keine Vorkehrungen, werden Ihre Nutzer vielleicht auch die Fun-App aus dubioser Quelle installieren und damit große Lücken aufreißen.
04.12.2009
BlackBerry-Sicherheit und PDF-Anhänge
Category: BlackBerry, Administration, Sicherheit
Wie erst heise und jetzt auch Tecchannel schrieben, hat RIM wieder eine Sicherheitslücke des BES gefixt, bei der es um PDF-Anhänge geht.
Der PDF-Distiller "übersetzt" das PD-Format in eines, das das Endgerät lesen und anzeigen kann. Dabei ist es anscheinend möglich, Code durch das Dokument einzuschleuen.
Updates sind für die Server-Versionen 4.1.3 - 4.1.7 und 5 hier zu bekommen.
Das ist nunmehr das dritte Mal dieses Jahr, dass RIM einen solchen Fehler im Zusammenhang mit dem PDF-Distiller entdeckt und fixt.
Der Pessimist in mir sagt, dass das bestimmt auch nicht das letzte Mal war, so dass ich PDF-Anhäge auf dem BlackBerry auch nur mit der Kneifzange anfassen werde. Aber das ist eigentlich auch unabhängig von bekannten Sicherheitslücken eine gute Idee.
Wer sich selbst, seinen Nutzern oder seinen "Quellen" nicht traut und PDFs lieber komplett deaktivieren möchte, der folgt einer ausführlichen Anleitung für einen Workaround im Blackberry Technical Solution Center.
Außerdem lassen sich non-native Attachments deaktivieren. Das betrifft wahrscheinlich nicht PDFs, da die durch die Behandlung mit dem Distiller als native gelten werden, aber zum Beispiel Office-Dokumente.
Wünsche maximalen Wirkungsgrad.
30.10.2009
Sicherheitslücke in den mobilen Lotus Connections Activities-Seiten
Category: Sicherheit, IBM Connections
In der folgenden Technote wird beschrieben, wo man den Fix für dieses Problem bekommt und wie man diese Korrektur installiert:
LO43637 Mobile: Mandatory iFix: XSS fixes for mobile Activities pages,
http://www-01.ibm.com/support/docview.wss?uid=swg24024303
12.04.2008
Sicherheitslücke in der Ansicht von Dateianhängen
Category: Sicherheit, Lotus Notes
Die Komponente für die Ansicht von Dateianhängen war ja schon öfters mal negativ aufgefallen wegen Sicherheitsproblemen. Jetzt gibt es wieder eine neue: wieder mehrere Pufferüberläufe. Es darf an dieser Stelle mal gefragt werden, wofür es inzwischen Software gibt, die sowas automatisch finden kann, wenn die Hersteller es nicht benutzen...
Mögliche Abhilfen:
- Warten auf das nächste Release...
- Hotfix anfordern
- Viewer-Komponente (teilweise) deaktivieren
Details und Quelle: Potential security vulnerabilities in Lotus Notes file viewers for Applix Presents, Folio Flat File, HTML speed reader, KeyView and MIME
24.10.2007
Change a running system! (Update)
Category: Lotus Notes, Lotus Domino, Administration, Sicherheit
Häufig sagt man ja in der IT: "Never change a running system" in leichter Abwandlung des englischen Sprichworts: "Never change a winning team".
Ich meine, dass kann man so nicht stehen lassen. Selbst bei einem ziemlich sicheren System wie IBM Lotus Notes/Domino gibt es hin und wieder Sicherheitslücken und Fehler in der Software, die sich von bösen Menschen ausnutzen lassen.
Zurzeit ist so eine Zeit. Im Newsticker auf heise.de wurde der Eintrag "Schwachstellen in Lotus Notes und Domino" veröffentlicht, in dem gleich fünf (!) sicherheitsrelevante Probleme aufgelistet und kurz beschrieben werden.
Read More
20.07.2007
Passworte im Klartext...
Category: Lotus Notes, Sicherheit
Passworte werden im Klartext in einer Datei auf dem Client-Rechner gespeichert, wenn die folgenden beiden Notes.ini-Variablen gesetzt sind:
KFM_ShowEntropy=1
Debug_Outfile=c:\pwdchange.txt
und der Benutzer das nächste Mal sein Passwort ändert.
Read More
08.04.2007
JSON-/JavaScript-basierte Sicherheitslücke
Category: Sicherheit, AJAX, Web-Entwicklung
Unter bestimmten Voraussetzungen gibt es eine Sicherheitslücke, wenn ein Web-Server Antworten im JSON-Format oder in Form von JavaScript erzeugt, was gerade im AJAX-Umfeld sehr häufig der Fall ist.
Szenario: Es gibt eine Web-Anwendung, die XMLHttpRequests (AJAX) benutzt, um vertrauliche Daten vom Server nachzuladen. Die Rückgaben sind im JSON-Format oder JavaScript. Natürlich kann die Anwendung erst nach einer Benutzeranmeldung mit Passwort genutzt werden.
Außerdem gibt es eine "böse" Web-Seite auf einem anderen Server, deren Ersteller Daten ausspähen möchte. Diese Seite enthält dazu ein
<script>-Tag,
dessen src-Attribut eine URL enthält, die die geschützten Daten zurückgibt.
Anders als ein XMLHttpRequest, der nur auf URLs vom gleichen Ursprung angewendet
werden kann, erlaubt das <script>-Tag
das Einbinden von JavaScript von beliebigen Servern.
Vorher auf derselben Seite installiert ein kleines JavaScript eine Erweiterung des Object- oder Array-Objekts, die aufgerufen wird, wenn ein neues Objekt bzw. ein neues Array erzeugt wird.
Dadurch wird beim Ausführen des oben beschrieben
<script>-Tags bei jedem
Objekt bzw. Array die installierte Erweiterung aufgerufen und kann auf
die vertraulichen Daten zugreifen und diese zum Beispiel mittels eines
weiteren AJAX-Aufrufs auf dem "bösen" Web-Server speichern.
Read More
30.03.2007
Und noch eine Sicherheitslücke, diesmal Sametime 3.1 - 7.0
Category: IBM Sametime, Sicherheit
Es gibt eine weitere, frisch gemeldete Sicherheitslücke, diesmal jedoch in IBM Lotus Sametime. Betroffen sind die Versionen 3.1., 6.5.1 und 7.0, nicht aber 7.5:Das betroffene JNILoader ActiveX-Control wird in Sametime 7.5 nicht mehr verwendet, so dass diese Version nicht davon betroffen ist. Für Sametime 7.0 gibt es einen Hotfix.
Aber der einfachste Weg, den Fehler zum umgehen, ist keinen Internet Explorer zu verwenden
Read More
28.03.2007
3 neue Sicherheitslücken in Notes/Domino
Category: Lotus Notes, Lotus Domino, Sicherheit
Es gibt drei frisch gemeldete Sicherheitslücken in Lotus Notes/Domino 6.5 und 7:
- IBM Lotus Domino IMAP Server Buffer Overflow Vulnerability
- IBM Lotus Domino Buffer Overflow Vulnerability in LDAP Server Task
- Lotus Domino Web Access Cross-Site Scripting Vulnerability
Alle drei Lücken sind in den Versionen 6.5.6 und 7.0.1 Fix Pack 1 beseitigt.
Read More
23.01.2007
McAfee VirusScan Enterprise 8.5i behindert Notes-Client-Authorisierung
Category: Lotus Notes, Sicherheit
Wird McAfee VirusScan Enterprise 8.5i auf einem Notes-Client installiert, kann das momentan fatale Folgen haben:Der Benutzer erhält regelmäßig einen Fehler 'You are not authorized to perform that operation' (Sie sind nicht berechtigt, diese Operation durchzuführen).
Er kann ab diesen Zeitpunkt nicht mehr sinnvoll mit Notes auf dem Server arbeiten, sondern muss den Notes-Client neu starten. Nach einiger Zeit wiederholt sich das Spiel.
IBM bestätigt das Problem hier:
Error: 'You are not authorized to perform that operation' appears periodically when opening or deleting messages
Der Fehler scheint nur aufzutreten, wenn neben bem Notes-Client auch der Domino Designer installiert ist. Er tritt sowohl bei Windows 2000 als auch Windows XP auf. Notes-seitig ist der Fehler bei den Versionen 6 und 7 bestätigt.
Eine Deinstallation des Virenscanners erledigt das Problem auf jeden Fall.
Laut McAfee reiche es auch aus, das Scannen von Server Mail-Boxen und anderen Server-Datenbanken zu deaktivieren:
ERROR: You are not authorized to perform that operation (Issue: Lotus Notes error after installing VSE 8.5i)
Außerdem arbeiten Sie an einer dauerhaften Lösung des Problems.
Suche (Search)
Tags
Archiv (Archive)
Deutsche RSS-Feeds (German)
English RSS feeds