Abstract:

IBM Lotus Notes and IBM Lotus Domino are vulnerable to four Java exploits where malicious agents, applets, or XPages applications can escalate privileges. These vulnerabilities are in the IBM Java SDK.

Content:

​For information about the impact of this vulnerability on other affected IBM products, ​refer to this post​ on the Product Security Incident Reporting Team (PSIRT) blog.

VULNERABILITY DETAILS:
CVE IDs: CVE-2012-4820, CVE-2012-4821, CVE-2012-4822, CVE-2012-4823

Description:

There are a number of vulnerabilities in the IBM Java SDK versions that affect various components (ORB, XML and JMX). The vulnerabilities allow code running under a security manager to escalate its privileges by modifying or removing the security manager. Some of the issues need to be combined in sequence to achieve an exploit.

An attacker could persuade a user into running Java code from an untrusted, malicious source resulting in privilege escalation. The attacker must convince the Notes user to click on a malicious Notes:// URL which, in turn, runs a Java agent, applet or XPages application. The attack against the Domino server can be exploited only by an authenticated user with the rights to run LotusScript or Java agents on the server.

Affected Plattform: Lotus Notes 8.0.X, 8.5, 8.5.X, 8.5.3 FP3

Fix : 8.5.3 FP3 or security patch

Technote#1616652 

Vorsicht, es handelt sich um eine nicht dokumentierte Debugging Funktion!
Note that this is an undocumented feature! Ask the IBM Support!

Step 1:

Exampel: 1 document + 3 attachments (1 NoteID+3 Object-ID)

benötigt wird die NoteID und Objekt-ID
required the NoteID and Object-ID

Tip: @noteID

Step2:

1. notes.ini: DEBUG_DAOS_DIAGNOSTICS=1
   anpassen Server notes.ini und Serverneustart
   edit server notes.ini and restart server
   oder/or
   Console: set config  DEBUG_DAOS_DIAGNOSTICS=1
   (check: show config  DEBUG_DAOS_DIAGNOSTICS) 
   
2. Console: tell daosmgr LISTNLO MAP -V mail\database.nsf

erzeugt …/Domino/Data die Datei listnlo.txt
created …/Domino/Data the File listnlo.txt

Step3:

Datei listnlo.txt in Excel  importieren (grosse Dateien in relationale DB)
import test file “listnlo.txt into Excel (import big File into relational database)

RRV-Haskey=filename in the DAOS Repository

Exampel: 1 NoteID und 3 Object-ID -> 3 RRV Hashkeys->3 .NLO Objekte

  › Continue reading…

 Frage: 

Wie kann ich überprüfen, welche Sametime Server Version installiert ist?

Antwort:  

http://<servername>/Sametime/buildinfo.txt

(<servername>  ist der voll qualifizierten Domain-Namen (FQDN = Fully Qualified Domain Name) des Sametime Server)

Frage: 

Wie kann ich überprüfen, welche Sametime Cient Version (standard)  installiert ist?

Antwort:  

Link

——————————————————————————————————————–

Question: 

How can you verify which version of the Sametime Client you have installed?

Answer: 

Link

Question: 

How can you verify which version of the Sametime server you have installed?

Answer: 

http://<servername>/Sametime/buildinfo.txt

(where <servername> is the Fully Qualified Domain Name of the Sametime server)

Quelle: IBM

Den notes.ini Paramter SERVER_RESTRICTED  gibt es schon seit Domino 6,
In Version 8.5.2 FP 3 und 8.5.3 sind jetzt  2 neue Werte hinzugekommen.

SERVER_RESTRICTED

• SERVER_RESTRICTED=0
  keine Beschränkung
  ———————————————————-
• SERVER_RESTRICTED=1
  Der Serverzugriff ist nur für die aktuelle Serversitzung beschränkt
  Die Replikation von Anwendungen bleibt bestehen.
  Nach Neustart des Server ist die Beschränkung aufgehoben.
  ———————————————————-
• SERVER_RESTRICTED=2
  Der Serverzugriff ist dauerhaft beschränkt.
  Die Replikation von Anwendungen bleibt bestehen.
  ———————————————————-
• SERVER_RESTRICTED=3
  Der Serverzugriff ist nur für die aktuelle Serversitzung beschränkt
  Die Replikation von Anwendungen initialisiert durch einen Administrator Account bleibt bestehen.
  Nach Neustart des Server ist die Beschränkung aufgehoben.
  ———————————————————-
• SERVER_RESTRICTED=4
  Der Serverzugriff ist dauerhaft beschränkt.
  Die Replikation von Anwendungen initialisiert durch einen Administrator Account bleibt bestehen.

Quelle Technote#1279004

Bemerkung:
Supported  Browser heisst nicht automatisch das alles Funktionen von iNotes  funktionieren (IE 6 steht immer noch als supported für 8.5.3), aber man kann so offiziell bei IBM  schimpfen und erhält dann ungefähr so eine info

Quelle IBM

———————————————————————

Error: iNotes Warning Problem: Formular Error (Lotus Domino 8.5.2 FIXPack 3)

Refreshing the browser does not clear the issue

Technote #1506794

Betroffen sind:

• LZH archive
• RTF document
• Applix Spreadsheets
• Microsoft Excel document
• Microsoft Office document
• Lotus Notes .prz file
• Lotus Notes .zip file

gefixt in:

8.5.2 FP3 (Juli 2011)

8.5.3 (Q3 2011)

Das neue Fixpack steht zum download bereit!

Tip:
Sehr übersichtlich ist in  der Release Notice dokumentiert, welche Komponenten bzw. Fehler gefixt wurden.
Kategorisiert nach Clienttyp ( Basic und oder Standard), iNotes/DWA, XPages und Server

Alternativ:  die bekannte Übersicht in der Notes Domino Fix List

upcoming Release:

8.5.3:  Q2 2011 -Status Stage 1: SPR Triage
8.5.2 FP3 :  Juli 2011 Status Stage 1: SPR Triage

Erklärung siehe Blogbeitrag:    IBM Support Teil 4 Tipp: Stadium zukünftiger Releases

1. In den System Requirement ist er als supported gelistet:

supported browsers:

Internet Explorer 6, 7, 8
Mozilla Firefox 2.0.0.13 or later, 3.0.x, 3.5.x, and 3.6
(Erweiterung der supported Browsers Releases im Domino Wiki)

IBM Lotus iNotes 8.5.2 System Requirements Link

2. die Empfehlung seitens IBM (als Technote) ist jedoch IE6 nicht zu verwenden:

Supportability Statement for Internet Explorer 6 with Lotus iNotes 8.5.x
As stated in the Release Notes, IE6 is a supported browser to use with IBM Lotus iNotes 8.5.x. Although it is supported, IE6 is not a recommended browser for use with IBM Lotus iNotes.

Technote #1450261

3. die Praxis:

nicht verwenden …es sei den man will Probleme und es stellt sich die Frage: Warum wird er als supporteder Browser gelistet? oder Wie erkläre ich es meinen Kunden?

Lotus iNotes  für das Apple iPad,  ist durch IBM nur im ultra-light Modus supportet!!!

Mit nachfolgender notes.ini Variable (Domino Server) stehen zusätzlich der Full- und Light Modus zur Verfügung.

iNotes_WA_UltralightiPadShowSwitcher=value

1=Wechsel zwischen den Modi möglich
Enables switching to other modes. The Full and Lite mode links display in the footer area of the ultra-light mode home page

0=der Default Wert, kein Wechsel des Modus möglich
Disables mode switching. The iNotes Full and Lite mode links do not display on the ultra-light mode home page (unset, or no value produces the same result).

Abschaltung der Warnung beim Wechsel auf einen “nicht supporteten” Modus:

iNotes_WA_MobileSafariBrowserBlock=value

0 – Disables the unsupported browser warning .
1 – (default) Enables the unsupported warning.

Es gibt in den Modus Full und Light sicherlich Einschränkungen (kein Richtext editor etc.) und teils schon bekannte Probleme.

Quelle: IBM