Acht weitere Interim Fixes für IBM Notes, IBM Domino, IBM Notes Browser Plug-in, IBM ICAA und JVM Patch erschienen

Doch das war's noch nicht mit den im vorherigen Blogeintrag erwähnten Interim Fixes. So veröffentlicht IBM über Ostern gleich noch 8 (!) zusätzliche Interim Fixes, die allesamt vor allem eine kritische Sicherheitslücke und einen Fehler beheben sollen.

Die Sicherheitslücke wurde diesmal im IBM Notes TLS und AES GCM gefunden. Mit großen Datensätzen soll es möglich gewesen sein, TLS und AES GCM für einen kurzen Moment zu schwächen und damit mit Hilfe von "Man-In-The-Middle-Angriffen" Sessions mitschneiden zu können:

"For very large data sets, IBM Domino Web servers using TLS and AES GCM generate a weak nonce." und weiter "IBM Domino contains an unspecified vulnerability that could lead to session snooping using man-in-the-middle techniques."

Da TLS 1.2 die Grundlage dessen ist, sind Clients vor der IBM Notes Version 9.0.1 Fix Pack 3 Interim Fix 3 nicht betroffen. Neben weiteren Fehlerbehebungen ist Selbiges ist auch im Interim Fix 2 für IBM Domino Fix Pack 5 und im Interim Fix 2 für ICAA 1.0.0.1 enthalten.

Der zweite Fix zielt auf die Domino Konsole und auf ein Problem, bei dem es - nach einem JVM Update - nicht mehr möglich war, sich mit dem Server zu verbinden. Folgende Fehlermeldung erschien:

"Either the Server Controller is not running on host <name> or is not listening on port 2050."
Grundlage dessen war die Deaktivierung des MD5 Algorithmus, zur Verstärkung der Sicherheit. Dieser wurde aber von der Konsole benötigt, sodass es bisher nur mit einem Workaround gelöst worden konnte. Bereits in dem Blogeintrag "IBM hat Fixes für Sicherheitslücken in IBM Java 6 veröffentlicht" ist dieses Problem aufgekommen, welches nun gefixt wurde.
Es ist notwendig, den Interim Fix 2 für IBM Domino 9.0.1 Fix Pack 5 und zusätzlich den neusten JVM Patch (März 2016) zu installieren, um das Problem zu beheben. Auch im Interim Fix 3 für IBM Notes 9.0.1 Fix Pack 5 und im Interim Fix 2 für das IBM Notes Browser Plug-in 9.0.1 Fix Pack 5 sind - zusätzlich zu einigen weiteren Fehlerbehebungen - entsprechende Einträge enthalten.
Außerdem betrifft dies auch IBM Domino 8.5.3 Fix Pack 6, sodass auch für diese Version ein Interim Fix 12 und dementsprechend ein JVM Patch für 8.5.3.6 (März 2016) veröffentlicht wurde.

Quellen:
Security Bulletin: Vulnerability in IBM Domino Web Server TLS AES GCM Nonce Generation
Security Bulletin: Vulnerability in IBM Notes TLS AES GCM Nonce Generation (CVE-2016-0270)
Security Bulletin: Vulnerability in IBM Client Application Access TLS AES GCM Nonce Generation (CVE-2016-0270)
Unable to connect Java console to Domino server after applying JVM updater SR16FP20

Interim Fixes & JVM patches for 9.0.1.x versions of IBM Notes, Domino, iNotes & Notes Browser Plug-in
Interim Fixes & JVM patches for 8.5.3 Fix Pack 6 versions of IBM Notes, Domino & iNotes

Downloads des IBM Domino 9.0.1 FP5 IF2
Downloads des IBM Domino 8.5.3 FP6 IF12
Downloads des IBM Notes 9.0.1 FP5 IF3
Downloads des IBM Notes Browser Plug-in 9.0.1 FP5 IF2
Downloads des IBM Notes 64-bit 9.0.1 IF2
Downloads des IBM ICAA 1.0.0.1 IF2
Downloads des JVM Patch für 9.0.1.5 + IF (März 2016)
Downloads des JVM Patch für 8.5.3.6 + IF (März 2016)

Sie wollen mehr über assono erfahren?

Zur Startseite

Sie haben Fragen? Wir sind für Sie da.

Wenn Sie mehr über unsere Angebote erfahren möchten, können Sie uns jederzeit kontaktieren. Sie können uns auf verschiedene Weisen für eine unverbindliche Erstberatung erreichen:

assono GmbH

Standort Kiel (Zentrale)
assono GmbH
Lise-Meitner-Straße 1–7
24223 Schwentinental

Standort Hamburg
assono GmbH
Bornkampsweg 58
22761 Hamburg


Telefonnummern:
Zentrale: +49 4307 900 407
Techn. Hotline: +49 4307 900 403
Vertrieb: +49 4307 900 402

E-Mail-Adressen:
kontakt@assono.de
bewerbung@assono.de