Kennen Sie schon unseren Podcast? Thomas Bahn diskutiert mit Gästen aus Wirtschaft und Wissenschaft über Künstliche Intelligenz und Chatbots. Jetzt reinhören

Interims Fix 9 für IBM Domino 8.5.3 Fix Pack 6 erschienen

von Thomas,
assono GmbH, Standort Kiel,

Kurz nach dem Fix Pack 4 in der 9.0.1er-Linie des IBM Domino-Server ist auch dieser Interims Fix erschienen.
Es geht wieder um die Beseitigung von sicherheitsrelevanten Fehlern:
"IBM Domino Web Server contains two vulnerabilities. The Domino Web Server has an open redirect cross-site scripting vulnerability. In addition, the Domino Directory template, when available over HTTP, has a reflected cross-site scripting vulnerability."

Für den ersten Teil "reicht" es, wenn man auf einem 8.5.3er Domino-Server die Domino-Verzeichnis-Schablone (pubnames.ntf) eines Domino 9.0 oder 9.0.1 anwendet:
"The Domino Web Server reflected cross-site scripting vulnerability is tracked as SPR# KLYH8WBPRN and the fix is introduced in the Domino 9.0.0 version of the Domino Directory template (pubnames.ntf). IBM Domino 8.5.x servers running a Domino 9.0 or 9.0.1 pubnames.ntf is a supported configuration."

Um das zweite Thema kümmert sich der IF 9 (bzw. 9.0.1 FP4):
"The Domino Web Server open redirect cross-site scripting vulnerability is tracked as SPR# SJAR9DNGDA. The fix for this issue is introduced in both Domino 8.5.3 Fix Pack 6 Interim Fix 9 and Domino 9.0.1 Fix Pack 4. To enable the fix, on these or later releases, you must add the following new INI setting to the Domino server's notes.ini: DominoValidateRedirectTo=1."
Das mit der notes.ini-Einstellung ist also kritisch, damit der Fix sich überhaupt auswirkt!

Falls jemand wirklich noch einen "klassischen" Sametime-Meeting-Server nutzt (also von Sametime 9), braucht er noch einen weiteren Fix dafür:
"If you are running Sametime Classic Meeting Server, then to remediate the open redirect cross-site scripting vulnerability, you must also apply Sametime Classic Meeting Server hotfix "RPOH-9RPW4K". To obtain this hotfix, open a service request with IBM Support."

Quellen:
Security Bulletin: IBM Domino Web Server contains two vulnerabilities (CVE-2015-2014, CVE-2015-2015)
Interim Fixes & JVM patches for 8.5.3 Fix Pack 6 versions of IBM Notes, Domino & iNotes
Downloads des 8.5.3 FP 6 IF 9

Thomas Bahn

Thomas Bahn, Diplom-Mathematiker, IT-Spezialist & Speaker auf Fachkonferenzen

Thomas Bahn ist Mitgründer und Geschäftsführer der assono GmbH. Seit mehr als 20 Jahren berät er erfolgreich Unternehmen aus ganz Deutschland rund um das Thema Software und Digitalisierung. Insbesondere in den Bereichen HCL Notes und Domino (ehemals IBM) als auch bei aktuellen, unternehmensrelevanten KI-Themen wie Chatbots kennt er die neusten Entwicklungen und weiß, wie diese sich gewinnbringend für Unternehmen einsetzen lassen. Aufgrund seines Expertenwissens ist Thomas Bahn regelmäßiger Sprecher auf nationalen und internationalen Fachkonferenzen.

Fachbeitrag HCL Domino Administration

Sie haben Fragen zu diesem Artikel? Kontaktieren Sie uns gerne: blog@assono.de

Sie haben Interesse an diesem Thema?

Gerne bieten wir Ihnen eine individuelle Beratung oder einen Workshop an.

Kontaktieren Sie uns

Weitere interessante Artikel

Sie haben Fragen?

Wenn Sie mehr über unsere Angebote erfahren möchten, können Sie uns jederzeit kontaktieren. Gerne erstellen wir eine individuelle Demo für Sie.

assono GmbH

Standort Kiel (Zentrale)
assono GmbH
Lise-Meitner-Straße 1–7
24223 Schwentinental

Standort Hamburg
assono GmbH
Bornkampsweg 58
22761 Hamburg

Telefonnummern:
Zentrale: +49 4307 900 407
Vertrieb: +49 4307 900 411

E-Mail-Adressen:
kontakt@assono.de
bewerbung@assono.de

Einwilligung für externe Inhalte

Um Sie bestmöglich über unsere Angebote und aktuelle Themen wie Künstliche Intelligenz informieren zu können, integrieren wir externe Inhalte (Videos von Wistia) auf unserer Website. Außerdem verwenden wir Google Analytics und SalesViewer®, um allgemeine Statistiken zu erfassen und unsere Angebote zu verbessern. Dabei wird eine Verbindung zu den Servern der jeweiligen Betreiber hergestellt, zudem werden ggf. Cookies gesetzt. Siehe: assono.de/datenschutz