Tja...
Anfang der Woche schrieb ich bereits über eine bekannt gewordene Lücke in SSL/TLS nun folgt direkt die Nächste.

Diese nun LogJam genannte Lücke mit der CVE-ID "CVE-2015-4000" betrifft Server wie Clients gleichermaßen. Diese Lücke im DHE ermöglicht wohl einem "Man-In-The-Middle" eine Downgrade-Attack auf andere Verschlüsselungsstärken, so dass mitgeschnittener Netzwerkverkehr gelesen bzw. manipuliert werden kann.
Ich habe von IBM bisher keine offiziellen Statements gefunden, die eine Auskunft über die Betroffenheit der IBM-Produkte gibt. Wenn einer unserer Leser mehr weiß, ist er herzlich gebeten einen entsprechenden Kommentar zu hinterlassen .

Aber mehrere Dinge lassen sich sagen:
Domino kann vor 9.0.1 FP3 IF2 kein DHE. Ältere Domino-Versionen sind also deswegen schonmal nicht betroffen.

DHE muss in Domino 9.0.1 FP3 IF2 explizit eingestellt werden. In der Standardeinstellung ist Domino 9.0.1 FP3 IF2 also ebenfalls nicht betroffen.

Man kann seinen Server auf weakdhe.org auch testen lassen und erhält nebenbei auch Auskunft über die Verwundbarkeit seines Browsers . Darren Duke hat das einmal für einen seiner Domino-Server mit aktiviertem DHE getan und der Test bestätigt ihm keine Verwundbarkeit.
Wer sich nicht auf diese Webseite verlassen möchte oder Server testen möchte, die nicht im Web stehen, kann dies auch mit openssl tun.

Diese Aussagen ersetzen zwar m.E. kein offizielles Statement von IBM, lassen aber mit ausreichender Sicherheit vorläufig feststellen, dass
IBM Domino nicht von der LogJam-Lücke betroffen ist.

Update 12.06.2015

IBM hat in dieser Woche eine ganze Menge Bulletins zu Thema veröffentlicht. In keinem davon ist von Domino die Rede. Das könnte eine Bestätigung der obigen These sein.

Update 14.07.2015

Seit gestern gibt es nun endlich einen Bulletin zum Thema Notes und Domino, der die obigen Theorien weitgehend widerlegt. Seit gestern gibt es JVM-Patches für sowohl Domino als auch Notes.

Alternative ist die Anpassung einer lokalen Konfigurationsdatei, die aber vermutlich erheblich aufwendiger und riskanter sein dürfte als die Patches.

Gerne unterstützen wir in dem einen wie dem anderen Fall.

Quellen:

• Security Bulletin: Vulnerability in Diffie-Hellman ciphers may affect IBM Java shipped with IBM Notes and Domino (CVE-2015-4000)
• Download JVM-Patch SR 16 FP 5 für Notes und Domino 9.0.1 Fix Pack 4
• Download JVM-Patch SR 16 FP 5 für Notes und Domino 8.5.3 Fix Pack 6