Vor einigen Wochen gab IBM bekannt, dass Domino-Server durch Padding Oracle
On Downgraded Legacy Encryption (POODLE)-Attacken verwundbar sind. Hierbei
können verschlüsselte Verbindungen zwischen einem Web-Browser und einem
Domino-Web-Server, die auf dem veralteten SSL v3 basieren, auf den Stationen
dazwischen angegriffen und entschlüsselt werden - ein sogenannter Man-in-the-Middle-Angriff
ist möglich.
Daraufhin wird in vielen aktuellen Browser-Versionen
SSL v3 deaktiviert, so dass es nicht mehr für HTTPS-Verbindungen genutzt
wird. Diese Browser nutzten dann Transport Layer Security (TLS) ab der
Version 1.0 (= SSL v3.1), um verschlüsselte Verbindungen zu Web-Servern
aufzubauen.
Das Problem: Der Domino-HTTP-Task,
also der Web-Server-Teil von IBM Domino, kann TLS noch nicht.
Die Lösung: IBM hat für alle
aktuellen, sich in Wartung befindlichen Domino-Versionen sogenannte Interim
Fixes, also Sofort-Updates, heraus gebracht, die dem Domino TLS beibringen.
In der Technote
1687167: How is IBM Domino impacted by the POODLE attack?
sind mehr Details ausgeführt und die verfügbaren Interims Fixes aufgelistet:
9.0.1 Fix Pack 2 Interim Fix 1 | http://www.ibm.com/support/docview.wss?uid=swg21657963 |
9.0 Interim Fix 6 | http://www.ibm.com/support/docview.wss?uid=swg21653364 |
8.5.3 Fix Pack 6 Interim Fix 4 | http://www.ibm.com/support/docview.wss?uid=swg21663874 |
8.5.2 Fix Pack 4 Interim Fix 2 | http://www.ibm.com/support/docview.wss?uid=swg21589583 |
8.5.1 Fix Pack 5 Interim Fix 2 | http://www.ibm.com/support/docview.wss?uid=swg21595265 |