Domino von LogJam-Lücke in TLS doch betroffen (Update II 14.07.)

von Manuel Nientit,
assono GmbH, Standort Kiel,

Tja...
Anfang der Woche schrieb ich bereits über eine bekannt gewordene Lücke in SSL/TLS nun folgt direkt die Nächste.

Diese nun LogJam genannte Lücke mit der CVE-ID "CVE-2015-4000" betrifft Server wie Clients gleichermaßen. Diese Lücke im DHE ermöglicht wohl einem "Man-In-The-Middle" eine Downgrade-Attack auf andere Verschlüsselungsstärken, so dass mitgeschnittener Netzwerkverkehr gelesen bzw. manipuliert werden kann.
Ich habe von IBM bisher keine offiziellen Statements gefunden, die eine Auskunft über die Betroffenheit der IBM-Produkte gibt. Wenn einer unserer Leser mehr weiß, ist er herzlich gebeten einen entsprechenden Kommentar zu hinterlassen wink.gif.

Aber mehrere Dinge lassen sich sagen:
Domino kann vor 9.0.1 FP3 IF2 kein DHE. Ältere Domino-Versionen sind also deswegen schonmal nicht betroffen.

DHE muss in Domino 9.0.1 FP3 IF2 explizit eingestellt werden. In der Standardeinstellung ist Domino 9.0.1 FP3 IF2 also ebenfalls nicht betroffen.

Man kann seinen Server auf weakdhe.org auch testen lassen und erhält nebenbei auch Auskunft über die Verwundbarkeit seines Browsers smile.gif. Darren Duke hat das einmal für einen seiner Domino-Server mit aktiviertem DHE getan und der Test bestätigt ihm keine Verwundbarkeit.
Wer sich nicht auf diese Webseite verlassen möchte oder Server testen möchte, die nicht im Web stehen, kann dies auch mit openssl tun.

Diese Aussagen ersetzen zwar m.E. kein offizielles Statement von IBM, lassen aber mit ausreichender Sicherheit vorläufig feststellen, dass
IBM Domino nicht von der LogJam-Lücke betroffen ist.

Update 12.06.2015

IBM hat in dieser Woche eine ganze Menge Bulletins zu Thema veröffentlicht. In keinem davon ist von Domino die Rede. Das könnte eine Bestätigung der obigen These sein.

Update 14.07.2015

Seit gestern gibt es nun endlich einen Bulletin zum Thema Notes und Domino, der die obigen Theorien weitgehend widerlegt. sad.gif Seit gestern gibt es JVM-Patches für sowohl Domino als auch Notes.

Alternative ist die Anpassung einer lokalen Konfigurationsdatei, die aber vermutlich erheblich aufwendiger und riskanter sein dürfte als die Patches.

Gerne unterstützen wir in dem einen wie dem anderen Fall.

Quellen:

Fachbeitrag IBM Domino Sicherheit Administration

Sie haben Fragen zu diesem Artikel? Kontaktieren Sie uns gerne: blog@assono.de

Sie wollen eine individuelle Lösung? Kontaktieren Sie uns

Weitere interessante Artikel

Sie haben Fragen? Wir sind für Sie da.

Wir verwenden Ihre Daten, um Sie einmalig per E-Mail zu kontaktieren. Wir geben Ihre Daten nicht an Dritte weiter. Siehe: Datenschutzhinweise
assono GmbH

Standort Kiel (Zentrale)
assono GmbH
Lise-Meitner-Straße 1–7
24223 Schwentinental

Standort Hamburg
assono GmbH
Bornkampsweg 58
22761 Hamburg

Telefonnummern:
Zentrale: +49 4307 900 407
Techn. Hotline: +49 4307 900 403
Vertrieb: +49 4307 900 402

E-Mail-Adressen:
kontakt@assono.de
bewerbung@assono.de