Kritisch defect in Domino gedetecteerd op 13-12-2024

Zoals u waarschijnlijk al gelezen of gehoord heeft, heeft het ontwikkelingsteam van HCL Domino een probleem geïdentificeerd dat vanaf 13 december 2024 van invloed zal zijn op ALLE Domino-serverversies.

(Bron: https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0118192)

Klanten met HCL Domino versies 14.x,12.x en 11.x:

Meer informatie vindt u via de bovenstaande link, inclusief hoe u toegang krijgt tot de oplossing voor klanten met actieve ondersteuning met HCL Domino-versies 14.x,12.x en 11.x. op Mijn HCL-softwareportaal.
Domino-klanten zonder actieve ondersteuning Klanten moeten opnieuw opstarten met behulp van de Domino CCB Term-licentie. Neem hiervoor contact op met uw partner of HCL-verkoopvertegenwoordiger.
Alleen klanten met een geldig recht en actieve ondersteuning (en uitgebreide ondersteuning voor v9 en/of v10) kunnen de oplossing ontvangen en toepassen.

Alle fixes of patches van HCL Domino zijn het intellectuele eigendom van HCLSoftware.
Elk ongeoorloofd gebruik, reproductie of distributie is ten strengste verboden en zou een inbreuk vormen op de IE-rechten van HCLSoftware.

(Opmerking: Fixes zullen niet beschikbaar zijn voor alle tussentijdse versies van IBM Domino v9 en v10)

Wat is er aan de hand?

Volgens HCL zal als u uw server opnieuw opstart, er een routerfout optreden die resulteert in leveringsfouten als gevolg van een routeringslus. Ook zullen de e-mailregels beginnen te falen.
Bovendien gebruikt Domino slechts één enkele mail.box, ongeacht waar het configuratiedocument om vraagt.
Dit is een datum/tijd-probleem in de Domino router code. Het gebied waar het defect is gevonden, wordt gebruikt om te bepalen of de configuratie moet worden bijgewerkt.
Sinds 13 december mislukt deze controle en laadt de router uw configuratie niet.

Dit probleem treedt alleen op als Domino op of na 13 december 2024 opnieuw wordt opgestart. HCL heeft op 13 december een waarschuwing afgegeven om de impact te beperken.
Er werd binnen 24 uur een tussentijdse oplossing geleverd. Zie tabel in de link voor downloaddetails.

Dit probleem wordt niet veroorzaakt door een recente codewijziging en heeft geen invloed op de beveiliging. Deze bug bestaat al meer dan 30 jaar en lijkt van invloed te zijn op alle versies van Domino.
Hij werd niet eerder door IBM of Lotus ontdekt.

In de praktijk

Wij hebben inderdaad ook geconstateerd dat bij een herstart de mailrouter postbussen zijn beperkt tot een enkele (nieuwe) postbus, de mail regels niet meer werken en Notes mail routering niet meer werkt. SMPT mail verkeer, ook tussen de servers (indien geconfigureerd) blijft wel werken, waardoor mailverkeer via deze methode wel mogelijk lijkt te zijn.

In enkele gevallen werkt de mailroutering ook nog steeds, maar doordat het configuratie document mogelijk niet goed uitgelezen wordt is het maar zeer de vraag of de instellingen allemaal worden gebruikt, met alle gevolgen van dien. Onderschat het probleem dus niet, ook als er weinig aan de hand lijkt te zijn in uw situatie.

HCL kan op aanvraag ondersteuning bieden: Critical Alert: Resolve Domino Server Issues Before December 2024

Zie ook: HCL Notes/Domino – CRITICAL ALERT: Mail not routing after Domino restarts beginning December 13, 2024 – Community

Beveiligingslek in SSL 3.0 – ook van toepassing voor IBM Domino

Afgelopen week was het weer raak: diverse beveiliging sites waarschuwen voor een probleem met SSL (HTTPS verkeer).
Zie bijvoorbeeld: www.security.nl
Met POODLE (Padding Oracle On Downgraded Legacy Encryption) is een aanval via een SSL versie 3 verbinding mogelijk.

SSL 3.0

SSL 3.0 blijkt een forse fout te bevatten waardoor hackers toegang kunnen krijgen tot versleutelde informatie.
Doordat het verouderde SSL 3.0 protocol ook in de nieuwe standaard, TLS, nog steeds beschikbaar is als terugval-optie, is de ‘Poodle’ bug ook voor nieuwe systemen een aanmerkelijk risico.

Diverse software leveranciers zijn druk bezig met een oplossing voor dit probleem.
Tot er een oplossing is wordt aanbevolen SSL2 en SSL3 uit te zetten op uw webserver en gebruik te maken van het veiligere TLS.
Voor webservers als Apache is dit geen probleem, op internet zijn diverse manieren te vinden die dit helemaal uitleggen.
Echter voor Domino servers met de standaard HTTP taak, is dit geen optie.

De laatste versie van Domino, 9x Social Edition heeft ook de mogelijkheid om IBM HTTP Server als alternatieve webserver te gebruiken.
Dit is al een hele verbetering omdat de IBM HTTP Server, gebaseerd op Apache, wel de veiligere verbindingen ondersteund.
Met een paar aanpassingen (dezelfde als bij Apache) kan SSLv3 uitgeschakeld worden.
Het installeren van IBM HTTP Server is een optie in het installatie programma van Domino 9. Zie ook http://www.ibm.com/support/docview.wss?uid=swg27039743
Toch zijn ook met deze opzet diverse (andere) problemen gemeld op internet.
IBM zelf heeft nog geen officiële reactie gegeven op dit probleem. Zie ook: www-10.lotus.com/ldd/ndseforum.nsf

Apache reverse proxy

Op dit moment lijkt het de meest betrouwbare oplossing om een Apache webserver te installeren die als reverse proxy wordt ingesteld om alle verzoeken door te sturen naar Domino.
Dit kan, mits de server voldoende capaciteit heeft, op de zelfde machine geïnstalleerd worden zodat er geen extra hardware nodig is.
De veilige SSL verbinding wordt dan tot stand gebracht met de Apache webserver die op zijn beurt intern een normale verbinding via HTTP met Domino maakt.
Het voordeel is dat problemen met Apache veel sneller opgelost worden door de Open Source gemeenschap.
Ten opzichte van de Domino HTTP server is certificaat beheer in IBM HTTP Server en Apache ook veel eenvoudiger.

Microsoft IIS

Voor Windows beheerders die liever met Microsoft IIS werken, natuurlijk is dat ook mogelijk in combinatie met IBM Domino.
Op de site van Microsoft is ook informatie te vinden SSLv3 (en overige protocollen) uit te schakelen: http://support.microsoft.com/kb/187498/en-us

Om te controleren of uw webserver kwetsbaar is zijn er diverse testen op internet te vinden, onder andere op:

www.ssllabs.com
ssltools.websecurity.symantec.com

Vanzelfsprekend kunnen wij u helpen met het testen, adviseren en zo nodig het oplossen van dit probleem!

Update 23 oktober 2014

IBM heeft ook een Technote geplaatst over dit onderwerp:
http://www.ibm.com/support/docview.wss?uid=swg21687167

Zie ook:
http://www.ibm.com/support/docview.wss?uid=swg21418982

 

De Ontdekken Pagina ofwel Discover Page niet tonen in Notes 9

Bij een update van IBM Notes 8.5.3 naar 9.01 FP2 bij een klant kreeg iedereen de standaard Ontdekken pagina te zien.
Geen probleem natuurlijk, weg klikken en je kunt weer verder.
Toch leek het handig om dit in de Desktop policy Setting aan te passen. Op het Basis tabblad staat een instelling bij Home Page Options voor Social Edition Options. Daar aangegeven niets te tonen.
Bij Discover Page Options ook de keuze “Do not show” gemaakt.
Instellingen opgeslagen, en ja hoor iedereen kreeg de Ontdekken pagina in beeld, en bleef die ook krijgen. In de notes.ini was de regel $DISCOVER_HOMEPAGE=2 toegevoegd door deze aanpassing.
Nu las ik op de Developerworks pagina van IBM een tip om dan een Custom setting te maken in de Desktop Policy Setting om die regel de waarde 0 te geven. Nou vergeet het maar….
Zeg maar nee dan krijg je er twee in dit geval.

Er was zelfs een APAR bij IBM te vinden met dit probleem, en de oplossing was helder: de gebruiker begreep het niet of had een fout gemaakt….. Welke, wat en hoe?

Na wat zoekwerk blijkt er wel degelijk een fout te zitten in het Desktop Settings formulier. Paul McBride heeft op 10 juli 2014 ook de oplossing die hij van IBM had gekregen na het aanmelden van een incident beschreven.
Voor die mensen die van plaatjes houden heb ik een paar schermafdrukken gemaakt van de aanpassingen die IBM voor versie 9.0.2 (eerste kwartaal 2015) zal maken.

  • Open het database sjabloon pubnames.ntf met de IBM Domino Designer.
  • Open het Policy Settings\Desktop Settings formulier.
  • Verander op het Basics tabblad de formule voor het veld $Pref$DISCOVER_HOMEPAGE$HA in @If(SocEdHome=”2″ & SocEdHome$HA!=”1″;””;tmpDISCOVER_HOMEPAGE$HA)

ibm_discover_homepage_bugfix_01

  • Verander de input translation formule van het veld $Pref$DISCOVER_HOMEPAGEin
    tmpOut:=@If((SocEdHome=”0″ | SocEdHome=””) & tmpDISCOVER_HOMEPAGE=”5″;”5″;SocEdHome=”2″ & SocEdHome$HA!=”1″ ;”4″;”2″);
    @If(tmpOut=””;”2″;tmpOut)

ibm_discover_homepage_bugfix_02

  • Verander de eigenschappen van het veld $Pref$DISCOVER_HOMEPAGE zo dat in plaats van een Checkbox een Dialog list wordt getoond, en haal het vinkje weg bij “Allow multiple values”.

ibm_discover_homepage_bugfix_03

  • Er staan nu een aantal velden in de tabel onder Discover page: pas om het netjes te maken de “Hide When” formules zo aan dat deze ook verborgen worden als de waarde van het veld SocEdHome ”2” is. Een voorbeeld SocEdHome=”1” moet SocEdHome=”1″:”2” worden.

ibm_discover_homepage_bugfix_04

  • Sla het formulier op.
  • Vernieuw het ontwerp van names.nsf met het aangepaste sjabloon
  • Ga naar de desktop policy setting, bewerk dit document en sla het op.

ibm_discover_homepage_bugfix_05

  • Nu zou de Ontdekken pagina niet meer getoond mogen worden.

In ons geval werkte dit goed!