fighting for truth, justice, and a kick-butt lotus notes experience.

 
alt

Detlev Poettgen

 

netzgoetter@Twitter

netzgoetter.net - detlev poettgen's blog

Das Fix für das 8.5.3 FP4 Interims Fix 1

 14 Mai 2013 21:41:22
So manches mal kann man sich nur wundern, das so etwas passieren kann.

Da liefert die IBM hektisch ein Interims Fix1 für das erst kürzlich veröffentlichte 8.5.3 Fixpack 4, welches die inzwischen bekannte sehr kritische Java Applet Sicherheitslücke schließen soll und schlampt dabei heftig (Sorry, aber anders kann man das leider nicht ausdrücken).

Mich haben mehrere Kunden in den letzten Tagen darauf angesprochen, das nach der Installation des Interim Fixes einige Windows Programme nicht mehr funktionieren. Davon betroffen war auch der IBM eigene i Access Client oder der Citrix ICA Client. Eine Nachinstallation der Microsoft Visual C++ 2005 Service Pack Redistributable Package löste meistens das Problem. Inzwischen existiert auch eine Technote hierzu: Some applications stop working after installing Notes 8.5.3 Fix Pack 4 or 8.5.3 Fix Pack 4 Interim Fix 1 on Windows

Die IBM hat nun gestern das Interims Fix 1 wieder zurückgezogen und heute eine neue Revision des Interims Fixes veröffentlicht, welche das obige Problem behebt.
Ohne weiteren Kommentar aus den Release Notes zitiert:

A missing file in the Windows versions of Notes 8.5.3 Fix Pack 4 and 8.5.3 Fix Pack 4 Interim Fix 1 is impacting some Windows applications, preventing them from running (see examples below), and thus those original fixes were pulled from Fix Central and Passport Advantage. 8.5.3 Fix Pack 4 (and subsequently 8.5.3 Fix Pack 4 Interim Fix 1) required a Microsoft runtime re-distributable to be included in the package. The run-time was missing a key file.

This Interim Fix addresses the following SPRs for Notes Standard & Basic client :
JMOY95BLM6 Security Vulnerability regarding Java applet and JavaScript tags inside HTML emails
JMOY95BN49 Security Vulnerability regarding Java applet and JavaScript tags inside HTML emails
NPEI96K82Q Security Vulnerability regarding PNG Integer Overflow
SHEZ97GH6E ** Some Windows-based applications stop working after installation of Notes 8.5.3 Fix Pack 4 or Notes 8.5.3 Fix Pack 4 Interim Fix 1




Also um das Versions -Wirrwarr komplett zu machen: Hier ist nun das IBM Notes 8.5.3 FP4 IF1 Rev1 zu finden: Fix Central

Und, ja die Installation ist zur Behebung der bereits veröffentlichten Java Applet Security Lücken zu empfehlen, falls die Notes.ini Einträge nicht gesetzt werden können.

IBM Notes Traveler 9.0 Interim Fix 1 available

 10 Mai 2013 20:25:58
Today IBM releases Interim Fix 1 for IBM Notes Traveler 9.0.

Fixlist:
APAR # Component Abstract
LO74548 Server Apple device may show duplicate attachments for Mime content mail.
LO74670 Server Migration from 853 UPx might stall when using DB2 back end.
LO74886 Server Some TIFF format images may not sync to Mobile device.
LO74930 Server Apple device may show old Ghost entry for rescheduled repeating meeting.
LO74961 Server Accept notice may be sent when autoprocessing reschedule for a declined repeating meeting.
LO74872 Server Encrypted mail may not honor the prevent copy flag.
LO74989 Server User may not be able to register a new device when their primary mail server is unavailable.
LO75023 Android Some inline images may not be displayed on Android device.
LO75029 Android Day of the week headers missing from Month view on some Android devices.
LO75059 Server Companion link may be incorrect on device after the mail in question is moved to a folder on the server.
LO75075 Server Mail server out of service state change not detected until restart of Traveler server.
LO75076 Server Companion application will prompt for password when server configured not to require password.
LO75121 Server High CPU for nhttp when Notes Traveler is streaming attachments.
LO75124 Server Attachments not syncing to Windows Tablet devices.
LO75132 server Duplicate sent folder items seen on BlackBerry 10 device.
LO75136 Server Device may loop on unexpected configuration change reducing battery life and increasing data usage.


Goto to Fix Central to download the Fixes: Fix Central

IBM Mobile Connect - Better UI and new Redirect Options

 3 Mai 2013 11:51:05
Mit dem ersten Interimsfix für IBM Mobile Connect 6.1.5 hat das Dev-Team auch einige Erweiterungen und Verbesserung der Konfigurationsoberfläche durchgeführt.

Zum einen gibt es ein neues Keyword mit dem der Connection Manager des IMC automatisch Sametime Meeting Zugriffe erkennt und an das dahinterliegende richtige Server-Backend weiterleitet.
Hiermit sind nun alle wichtigen IBM ICS Systeme automatisiert erkennbar und somit einfach konfigurierbar.

Vorhandene Keywords:

TRAVELER
INOTES
SAMETIME
CONNECTIONS
MEETINGS   (New!)

Die Oberfläche um die Service-URLS (die internen Weiterleitungsziele) zu konfigurieren, wird ebenfalls mit dem Update endlich Admin-Kompatibel:

Image:IBM Mobile Connect - Better UI and new Redirect Options

Jeder Eintrag ist nun eine Zeile und kann getrennt bearbeitet werden.

Bisher war dies über ein einfaches Textfeld mit Komma als Separator möglich.

Ach so kleine Dinge können glücklich machen :-)

Das Update sollte jeder insbesondere auch wegen der enthaltenen Fixes schnellst möglich installieren.



Kritische Sicherheitsluecke in aktuellen Notes Clients

 2 Mai 2013 16:24:48
Es existiert in den aktuellen Notes Versionen v8.x, v8.5.x und v9 ein aus meiner Sicht sehr kritisches Sicherheitsloch, welches es ermöglicht das aus HTML-Mails ungefragt Java Script bzw. Java-Applets nachgeladen und ausgeführt werden kann.
Über die Applets kann bei Clients mit einer alten IBM Java Runtime eine bekannte Java Sicherheitslücke ausgenutzt werden, über die die Gesamtkontrolle über den PC erlangt werden kann.

Für den Notes Client 8.5.3 FP4 ( http://www-01.ibm.com/support/docview.wss?uid=swg21636024 ) und 9 ( http://www-01.ibm.com/support/docview.wss?uid=swg21636023 ) hat die IBM heute ein Interims-Fix bereitgestellt.

Ansonsten ist zu empfehlen über einen Notes.ini Eintrag auf den Clients die Ausführung von Java Applets evt. auch von JavaScript im Notes Client zu deaktivieren:

EnableJavaApplets=0
EnableLiveConnect=0
EnableJavaScript=0

Wer testen möchte, ob sein E-Mail-Client Java oder JavaScript ausführt, kann sich vom  heise Security E-Mail-Check eine harmlose Test-Mail zusenden lassen. Bei den laut IBM betroffenen Versionen Notes 8.0.x, 8.5.x und 9.0 erscheint dabei dann unter Umständen ein roter Kasten mit dem Text "Aktiv!".


 

IBM Mobile Connect - There is a new Fix out there

 2 Mai 2013 09:41:58
Seit dem 30.04.2013 steht ein zweites Fix für IBM Mobile Connect 6.1.5  (Build 20130423) zum Download bereit.

Wer IBM Notes Traveler oder IBM Sametime über IMC einsetzt, sollte das Fix zeitnah dringend installieren.
Das neue Fix ist kumulativ und beinhaltet ebenfalls die in dem Fix vom 30.03.2013 enthaltenen Punkte.

Fett markiert die neu hinzugekommen Fixe:

Fixlist:
 APARs
Description
Build Date
IV32014
Traveler Companion may fail to load due sequencing and fragmentation
of the companion POST transaction.
20121205
IV32737
Authentication may fail if userid contains an apostrophe.
20121205
IV34192
POLL() on SLES 10.x returns EINVAL in an infinite loop.
20130109
IV33111
Add DENY keyword to application server URL list of supported
prefixes. This allows entering a rule to block specific traffic. Eventually, this function will move to a rules file.
20130122
IV35841
HTTP-AS. Add function to allow requests for a root, / , URL to be mapped to a specific path defined by the application server URL setting.
20130125
IV35871
HTTP-AS. Multiple http services should create separate sessions
when accessing via different hostnames.
20130125
IV36500
Update GSKit (Global Security Kit) to latest maintenance release, 8.0.50.3. Update is required for IMC on Linux platforms.
20130306
IV36681
HTTP-AS. Sending Traveler mail with large attachments may fail or hang with incomplete data.
20130214
IV36805
HTTP-AS and iNotes CIS issue with redirector path comparisons when path contains uppercase such as /MAIL/...
20130214
IV36874
HTTP-AS add support for sametime meetings client including the
MEETINGS tag. This allows IMC to identify meetings client traffic and challenge with appropriate method.
20130222
IV37042
HTTP-AS Routing to incorrect server when Round Robin is set
and more than one type of application server is set.
20130222
IV33111f_1
HTTP-AS IMC may lose track of which application server is being
referenced after a 302 redirect takes the user to an undefined
application server URL.
20130222
IV37810
HTTP-AS Using multiple applications on the same service may cause problems connecting to the wrong application server.
20130312
IV38597
Make iNotes the default when configured for multiple applications
on the same HTTP Service definition. If IMC can not identify the traffic, and iNotes is configured, return the iNotes server as the default.
20130327
IV38609
Connection Manager restarts after a deadlock when client uploads large email messages via Traveler and the backend network slows us down.
20130330
IV39545
HTTP-AS Backoff/Retry queue allowing more than one packet per
connection causing unnecessary work and possible memory exhaustion.
20130412
IV39782
HTTP-AS: Make maximum size of requested URLs configurable. Currently, limit is hardcoded at 2k.
20130418
IV40034
HTTP-AS: Add feature to allow IMC to automatically allow untrusted certificates when communicating with internal facing servers.
20130418






Zum Download: IBM Mobile Connect 6.1.5 Fix - Build 20130423

IBM Notes Traveler Android Client ab heute auch im Google Play Store

 26 April 2013 18:09:23
Seit heute ist der Android Client für IBM Notes Traveler im Google Play Store verfügbar.

Image:IBM Notes Traveler Android Client ab heute auch im Google Play Store

Ich bin noch ein wenig unentschlossen, ob ich mich darüber freuen soll.

Vorteil:
Bisher mußte der Android Client über den Browser vom Traveler Server direkt herunter geladen und installiert werden.
Damit dies durchgeführt werden kann, muß unter den Sicherheitseinstellungen auf dem Android Gerät die Option Installation von Nicht-Markt-Apps zulassen aktiviert sein.
Hiermit wird dann aber zwangsläufig die Büchse der Pandora geöffnet und ein weiteres Einfalltor für potentiell schädliche Apps aufgesperrt.

Wird die Traveler App nun über den Play Store installiert, ist dies somit sicherer und der aus meiner Sicht zu bevorzugende Weg.

Nachteil:
Die bisher mögliche Kontrolle durch die Traveler Administratoren, welche Android Client Version eingesetzt werden darf, entfällt. Der User bekommt über den Play Store immer die aktuelle Version unabhängig von der eingesetzten Traveler Server Version. Was natürlich auch ein Vorteil sein kann. Aber ein Teil, der von uns betreuten Traveler Kunden, haben es vorgezogen erst den Client auf einigen Testgeräten zu testen und erst dann den neuen Client in der Fläche freizugeben. Insbesondere die Kompatibilität neuer Client und alte Traveler Server Version hat in der Vergangenheit an einigen Stellen zu Problemen geführt.

Ein zweiter Punkt: Ich kenne den ein oder anderen Traveler Administrator, der durch bewusstes entfernen der Android Client Installationspakete vom Traveler Server probiert hat, die Nutzung von Traveler auf Android Devices zu unterbinden. Dies ist und war natürlich keine wirkliche Lösung! Nun ist sie für den Benutzer natürlich noch einfacher zu umgehen.

Also denke ich eine gute Aufgabe sich über das Wochenende Gedanken zu machen, wie man hiermit zukünftig umgehen will.

By the Way:
Der bessere und beste Weg dediziert & sicher zu steuern, auf welchen Devices Traveler von welchen Benutzern verwendet werden darf, ist der Einsatz unserer Traveler Administrations- & Security Suite traveler.rules.
Hierzu und zu unserer neuen traveler.rules Version in den nächsten Tagen an dieser Stelle mehr.





 

IBM Notes Traveler 8.5.3. UP2 IF2 may break Directory Lookup

 23 April 2013 12:23:14
Two customers called me this morning regarding issues with the Directory Lookup, which did no longer work after installing the Interims Fix 2 for IBM Notes Traveler 8.5.3 Upgrade Pack 2.

The Interims Fix 2 contains a fix regarding the directory lookup, which will change the default behaviour:
LO74676 Server Honor ACL control by default for Corporate Look up.





With this Fix the Notes Traveler server was updated to enable ACL check by default for corporate lookup:
The current behaviour is that when Notes Traveler does a look up names from the device will find all of the fields even if reader fields have been defined. As work around can be done to set the notes,ini parameter NTS_LOOKUP_ENFORCE_ACL=1 to have Notes Traveler honor the reader fields in the names.nsf file.

This APAR will change the default behaviour to honor reader fields by default.

As you can see this was already possible in the past using the notes.ini entry NTS_LOOKUP_ENFORCE_ACL. But the setting was off by default.

If you take a look at your Traveler configuration using

tell traveler config

You should find this setting in the list:

Image:IBM Notes Traveler 8.5.3. UP2 IF2 may break Directory Lookup

After IF2 this is on by default (NTS_LOOKUP_ENFORCE_ACL=1).

Switching back the setting to 0 and restarting the Traveler server solved the issue at customer site and the corporate lookups works again.

If you want to enforce the ACL you should check your ACL settings, so that the Traveler Server and your Traveler users are able to access the directories and most important the da.nsf on your mail and / or Traveler server.

Lotus Notes Domino 8.5.3 Fixpack 4 available

 15 April 2013 21:50:27
IBM hat heute fuer die Version 8.5.3 das Fixpack 4 veroeffentlicht. Das Fixpack steht ab sofort zum Download zur bereit.

Neben 70 Fehlerbeseitigungen bringt Fixpack 4 auch Support für den Notes Client unter Windows 8 und für den Domino Server unter Windows Server 2012 mit.

Aus der Fixlist:

Client
SPR# GMAA8TQEVG - Fixes issue where view column sorting isn't maintained in the inbox view. This is a regression in 8.5.2
SPR# BBSZ82DCP8 - Fixes issue where when a user is renamed to a different Hierarchical Certifier, they get prompted the first time they launch the Notes client, to accept Cross Certificates for Organizations that they are not a member of.
SPR# RCEA8JGM72 - Fixes issue on Red Hat 6 where the Admin Client does not show disk space
SPR# JSHN8ZZ2AB - Fixes Client focus issue when using an outline entry pointing at a view. This is a regression in 8.5.3 FP2.
SPR# JKAE8M3DVD - Fixes intermittent Notes Client crash in AsyncReceivePoll -> PostReceive -> OSVBlockAddr -> Panic

Server
SPR# ADC8QXA8M - Fixes Server crash with Unknown Error in process Unknown and function DbClose2
SPR# BFUY8XNL8M - Fixes Server crash when closing documents associated with a database that is being closed in the imap process
SPR# MJBG8MV72E - Fixes Domino Server router hang while doing a message recall
SPR# RFRF92V973 - Fixes issue where some Chinese characters get lost in a message sent by iNotes user
SPR# RNOG8VDLTW - Fixes issue where if a user is renamed to an OU an error is received if there is a policy assigning that OU to the ID Vault
SPR# MKHS8L3TR3 - Fixes issue where users are prompted serveral times to create local cross-certificate after being moved to a new org using Adminp
SPR# JWAE7L5SU2 - Fixes Server SMTP crash in NSFItemAppend
SPR# TSAO8XFGBQ - Fixes Server crash with unexpected internal error returned to logger: 0x200F2010
SPR# JPMS8WVLW9 - Fixes performance issue where Clients are unable to connect to Server due to issue in UNK processing. This is a regression from 8.5.2.
SPR# XCXC7MEDPQ - Fixes server crash during conversion of a document to html by the http process
SPR# THIO8T2FJ6 - Fxes issue where after upgrading to Domino 8.5.3, the subject of a mail is lost if that subject contains Japanese characters. This is a regression in 8.5.3.
SPR# ANIA8RVE8Y - Fixes Server crash in Domidx while removing databases from the Domain Index
SPR# ANIA8JG9BN - Defensive fix to avoid an issue where the Event Task Crashes With "Panic: Osvblockaddr: Bad Vblock Handle." We now check to ensure that the VBlock handle is NOT NULL before using it.SPR# MBOD8GZQBH - Fixed an issue where the mail file path (replica reference) of a replica copied using dbmove is incorrect on the target server.

iNotes
SPR# TSAO8MAEHH - When Alternate Name Support is enabled, while in the inbox, modification of the "To" Address is not reflected in the Altsendto Field. This is a companion fix to SPR IISA8WQABL. This is a regression in 8.5.2.
SPR# IISA8WQABL - When Alternate Name Support is enabled, while in the preview pain, modification of the "To" Address is not reflected in the Altsendto Field. This is a companion fix to SPR TSAO8MAEHH. This is a regression in 8.5.2.

Gesamte Fixlist: 8.5.3 Fixpack4

Zum Download: Fix Central

Lotus Notes Traveler 8.5.3 Upgrade Pack 2 IF2 available

 15 April 2013 17:47:57
Today IBM releases a new Interims Fix 2 for Traveler 8.5.3 Upgrade Pack 2.

Please check the following fixlist:
APAR # Component Abstract
LO74168 Server Unable to modify event alarm from Apple device for non-repeating calendar entry.
LO74188 Server Cancel from attendee on Apple device may generate a duplicate meeting.
LO74197 Server Mail sent encrypted from Apple Companion application may not be readable by another Notes user.
LO74199 Server Excessive errors logged on Domino console when downloading attachments.
LO74209 Server Servlet user cache not cleared until restart of the server.
LO74263 Android To Do without a due date may not sync to Android device.
LO74274 Android Remove start date from To Do and UI returns to wrong place.
LO74317 Server If attendee has MailTo: link, send will fail from Apple device.
LO74331 Server Potential conflict autoprocessing cancellation notices on Notes Traveler server.
LO74341 Server Mime message may not honor the $KeepPrivate flag.
LO74367 Server Device Approval message has wrong translation in Spanish.
LO74386 Server Config option to turn off auto processing of Calendar events.
LO74458 Server Audit log may record DB password.
LO74547 Server Update to event from Apple device may cause BES server to temporarily remove entry from BB device.
LO74551 server Delegate calendar user may see Ghosted private entry.
LO74569 Server Some MIME messages generate datetime exception on Console.
LO74623 Server Appointment created from Android syncs as a Meeting.
LO74638 Server Silent install issue with 8.5.3 UP2 IF1.
LO74644 Server After upgrade, sync type for Apple device may be blank in Web Admin.
LO74676 Server Honor ACL control by default for Corporate Look up.
LO74709 Android Search mail on device may not show most recent items.
LO74721 Android MailTo link with encoded character may not work on device.
LO74736 Server Accept notice received when removing attendee from a meeting.
LO74764 Server Security view takes a long time to load in Web Admin on Stand Alone server.





Goto to Fix Central to download the Fixes: Fix Central

Get prepared - Apple will change with iOS 6.1 VPN On Demand functionality

 12 April 2013 18:28:33
Falls jemand unter Apple iOS VPN-Zugriff mit der Option On Demand - Always verwendet, ist in den kommenden Wochen Vorsicht geboten.

Bedingt durch eine durch Apple verlorene Patentklage, muss Apple die "VPN On Demand"-Option mit dem nächsten iOS Update 6.1 deaktivieren bzw. deren Verhalten ändern.

Mit iOS 6.1 ist relativ schnell in den nächsten Tagen zu rechnen.
Daher sollte jeder der iOS-Devices mit eingerichtetem VPN-Zugang verwendet, prüfen ob er auch hiervon betroffen ist und sich vorbereiten.

Apple beschreibt in einem öffentlichen Supportdokument bereits die zu erwartenden Probleme:



Symptoms

Due to a lawsuit by VirnetX, Apple will be changing the behavior of VPN On Demand for iOS devices using iOS 6.1 and later.

Devices using iOS 6.1 and later with VPN On Demand configured to "Always" will behave as if they were configured with the "Establish if needed" option. The device will establish a VPN On Demand connection only if it is unable to resolve the DNS name of the host it is trying to reach. This change will be distributed in an update later this month.

If the name of a host can be resolved without a VPN connection, you may see one of the following behaviors:

        ▪        If the host is a web server that presents different content to internal and external users, the VPN On Demand connection will not be established and you will see the external content.
       ▪        If the host is a web or mail server that has a name that can be resolved externally but cannot be contacted externally, the VPN On Demand connection will not be established and you will not be able to connect to the server.
       ▪        If you are using a public DNS service that provides an alternative IP address for hosts that it cannot resolve, the VPN On Demand connection will not be established and you will not be able to connect to the server.
       ▪        If you are using a VPN configuration that includes wildcard entries (such as *.com) that match top-level domains that are publicly accessible, the VPN On Demand connection will not be established when you contact hosts in those domains.
 

Resolution

To establish a VPN connection, turn on VPN manually in Settings > General > VPN.

Apple will address this functionality with alternatives in a future software update.

Additional Information

If you are currently using the "Always" option for VPN On Demand, you can see how this change will work before it takes effect by creating a new VPN configuration that uses the "Establish if needed" option for the same set of domains.

Quelle: support.apple.com