Seit Montag steht das Interims Fix 11 für den Domino-Server 8.5.3 (Fixpack
6) bei IBM zum Download zur Verfügung. Das Pendant für den Notes-Client
ist bereits seit dem 16. Dezember verfügbar.
Beide Interims Fixes beheben eine kritische
Sicherheitslücke, welche Ende September letzten Jahres in der CVE Datenbank
von mitgre.org eingetragen wurde. Aufmerksam wurde man auf das Prinzip
dieser Sicherheitslücke, durch eine Präsentation
von Gabriel Lawrence und Chris Frohoff.
Konkret ist von
CVE-2015-7450 die Rede, eine Sicherheitslücke,
welche dem Angreifer ermöglicht beliebige Befehle auszuführen.
Das Problem hierbei liegt hierbei nicht
direkt in der Bibliothek Apache Commons Collection, wie es häufig behaupted
wird, sondern allgemein in "..Anwendungen, welche die Java-Deserialisierung
auf unsichere Art und Weise benutzen" (Benedikt Ritter).
Im Blog
von Benedikt Ritter finden Sie mehr Informationen zur Sicherheitslücke.
Die Apache Software Foundation hat zu
dem Thema bereits ein Statement
abgegeben.
Quellen:
http://www-01.ibm.com/support/docview.wss?uid=swg21971751
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7450
http://www-01.ibm.com/support/docview.wss?uid=swg21663874
http://www-933.ibm.com/support/fixcentral/
https://blog.codecentric.de/2015/11/kommentar-zur-sogenannten-sicherheitsluecke-in-apache-commons-collections/
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread
http://frohoff.github.io/appseccali-marshalling-pickles/
Download
Interims Fix 11 für IBM Domino 8.5.3 Fix Pack 6
Download
Interims Fix 7 für IBM Notes 8.5.3 Fix Pack 6