Doch das war's noch nicht mit den im vorherigen Blogeintrag erwähnten Interim
Fixes. So veröffentlicht IBM über Ostern gleich noch 8 (!) zusätzliche
Interim Fixes, die allesamt vor allem eine kritische Sicherheitslücke und
einen Fehler beheben sollen.
Die Sicherheitslücke wurde diesmal im
IBM Notes TLS und AES GCM gefunden. Mit großen Datensätzen soll es möglich
gewesen sein, TLS und AES GCM für einen kurzen Moment zu schwächen und
damit mit Hilfe von "Man-In-The-Middle-Angriffen" Sessions mitschneiden
zu können:
"For very large data sets, IBM
Domino Web servers using TLS and AES GCM generate a weak nonce."
und weiter "IBM Domino contains an unspecified vulnerability that
could lead to session snooping using man-in-the-middle techniques."
Da TLS 1.2 die Grundlage dessen ist,
sind Clients vor der IBM Notes Version 9.0.1 Fix Pack 3 Interim Fix 3 nicht
betroffen. Neben weiteren Fehlerbehebungen ist Selbiges ist auch im Interim
Fix 2 für IBM Domino Fix Pack 5 und im Interim Fix 2 für ICAA 1.0.0.1 enthalten.
Der zweite Fix zielt auf die Domino
Konsole und auf ein Problem, bei dem es - nach einem JVM Update - nicht
mehr möglich war, sich mit dem Server zu verbinden. Folgende Fehlermeldung
erschien:
"Either the Server Controller
is not running on host <name> or is not listening on port 2050."
Grundlage dessen war die Deaktivierung des
MD5 Algorithmus, zur Verstärkung der Sicherheit. Dieser wurde aber von
der Konsole benötigt, sodass es bisher nur mit einem Workaround gelöst
worden konnte. Bereits in dem Blogeintrag "IBM hat Fixes für Sicherheitslücken
in IBM Java 6 veröffentlicht" ist dieses Problem aufgekommen,
welches nun gefixt wurde.
Es ist notwendig, den Interim Fix
2 für IBM Domino 9.0.1 Fix Pack 5 und zusätzlich den neusten JVM Patch
(März 2016) zu installieren, um das Problem zu beheben. Auch im Interim
Fix 3 für IBM Notes 9.0.1 Fix Pack 5 und im Interim Fix 2 für das IBM Notes
Browser Plug-in 9.0.1 Fix Pack 5 sind - zusätzlich zu einigen weiteren
Fehlerbehebungen - entsprechende Einträge enthalten.
Außerdem
betrifft dies auch IBM Domino 8.5.3 Fix Pack 6, sodass auch für diese Version
ein Interim Fix 12 und dementsprechend ein JVM Patch für 8.5.3.6 (März
2016) veröffentlicht wurde.
Quellen:
Security Bulletin: Vulnerability in IBM
Domino Web Server TLS AES GCM Nonce Generation
Security Bulletin: Vulnerability in IBM
Notes TLS AES GCM Nonce Generation (CVE-2016-0270)
Security Bulletin: Vulnerability in IBM
Client Application Access TLS AES GCM Nonce Generation (CVE-2016-0270)
Unable to connect Java console to Domino
server after applying JVM updater SR16FP20
Interim Fixes & JVM patches for 9.0.1.x
versions of IBM Notes, Domino, iNotes & Notes Browser Plug-in
Interim Fixes & JVM patches for 8.5.3
Fix Pack 6 versions of IBM Notes, Domino & iNotes
Downloads des IBM Domino 9.0.1 FP5 IF2
Downloads des IBM Domino 8.5.3 FP6 IF12
Downloads des IBM Notes 9.0.1 FP5 IF3
Downloads des IBM Notes Browser Plug-in
9.0.1 FP5 IF2
Downloads des IBM Notes 64-bit 9.0.1 IF2
Downloads des IBM ICAA 1.0.0.1 IF2
Downloads des JVM Patch für 9.0.1.5 + IF
(März 2016)
Downloads des JVM Patch für 8.5.3.6 + IF
(März 2016)