Interim Fixes für IBM Domino zur Verhinderung von POODLE-Angriffen

von Enno Schwanke,
assono GmbH, Standort Kiel,

Vor einigen Wochen gab IBM bekannt, dass Domino-Server durch Padding Oracle On Downgraded Legacy Encryption (POODLE)-Attacken verwundbar sind. Hierbei können verschlüsselte Verbindungen zwischen einem Web-Browser und einem Domino-Web-Server, die auf dem veralteten SSL v3 basieren, auf den Stationen dazwischen angegriffen und entschlüsselt werden - ein sogenannter Man-in-the-Middle-Angriff ist möglich.


Daraufhin wird in vielen aktuellen Browser-Versionen SSL v3 deaktiviert, so dass es nicht mehr für HTTPS-Verbindungen genutzt wird. Diese Browser nutzten dann Transport Layer Security (TLS) ab der Version 1.0 (= SSL v3.1), um verschlüsselte Verbindungen zu Web-Servern aufzubauen.

Das Problem: Der Domino-HTTP-Task, also der Web-Server-Teil von IBM Domino, kann TLS noch nicht. sad.gif

Die Lösung: IBM hat für alle aktuellen, sich in Wartung befindlichen Domino-Versionen sogenannte Interim Fixes, also Sofort-Updates, heraus gebracht, die dem Domino TLS beibringen.  smile.gif

In der Technote 1687167: How is IBM Domino impacted by the POODLE attack? sind mehr Details ausgeführt und die verfügbaren Interims Fixes aufgelistet:

9.0.1 Fix Pack 2 Interim Fix 1 http://www.ibm.com/support/docview.wss?uid=swg21657963
9.0 Interim Fix 6 http://www.ibm.com/support/docview.wss?uid=swg21653364
8.5.3 Fix Pack 6 Interim Fix 4 http://www.ibm.com/support/docview.wss?uid=swg21663874
8.5.2 Fix Pack 4 Interim Fix 2 http://www.ibm.com/support/docview.wss?uid=swg21589583
8.5.1 Fix Pack 5 Interim Fix 2 http://www.ibm.com/support/docview.wss?uid=swg21595265

Damit sich Benutzer auch mit den neuesten
Browser-Versionen mit dem Domino-Web-Server verschlüsselt verbinden und
HTTPS nutzen können, muss der entsprechende Interims Fix kurzfristig eingespielt
werden.


Das "Rest-Problem" besteht
nun noch darin, dass der Domino-Server weiterhin SSL v3 für HTTPS-Verbindungen
anbietet. Es gibt bislang nur einen undokumentierten, nicht offiziell unterstützten
(unsupported) Weg, SSL v3 auf dem Domino-Server zu deaktivieren (sprechen
Sie uns bei Bedarf an).


Die offizielle Lösung ist, einen IBM
HTTP Server (IHS) vor den Domino-Server als sogenannten Reverse Proxy zu
betreiben. Bei diesem kann nicht nur SSL v3 deaktiviert werden, sondern
er "spricht" auch die aktuelleren Version 1.1 und 1.2 von TLS.

Die Technote
1612316: Is it possible to run IBM HTTP Server (IHS) on the same computer
as a Domino server?
stehen mehr
Details dazu.


Kurzfassung: Ab Domino 9 kann der IHS
sogar auf der gleichen Maschine laufen, wie der Domino-Server. Es gibt
aber auch Kunden, die den IHS extra auf einer anderen Maschine oder VM
in der DMZ installieren und den Domino-Web-Server im internen Netzwerk,
um diesen noch besser abzuschirmen und zu schützen.

Fachbeitrag IBM Domino Administration

Sie haben Fragen zu diesem Artikel? Kontaktieren Sie uns gerne: blog@assono.de

Sie wollen eine individuelle Lösung? Kontaktieren Sie uns

Weitere interessante Artikel

Sie haben Fragen? Wir sind für Sie da.

Wenn Sie mehr über unsere Angebote erfahren möchten, können Sie uns jederzeit kontaktieren. Sie können uns auf verschiedene Weisen für eine unverbindliche Erstberatung erreichen:

assono GmbH

Standort Kiel (Zentrale)
assono GmbH
Lise-Meitner-Straße 1–7
24223 Schwentinental

Standort Hamburg
assono GmbH
Bornkampsweg 58
22761 Hamburg

Telefonnummern:
Zentrale: +49 4307 900 407
Techn. Hotline: +49 4307 900 403
Vertrieb: +49 4307 900 402

E-Mail-Adressen:
kontakt@assono.de
bewerbung@assono.de