Log4j, säkerhet och HCL Domino – uppdateras efterhand

Posted by:

Hej käre kund och läsare,

Under veckan som gått har mycket av IT-nyheterna handlat om kritiska svagheter (Remote code execution) i primärt version 2 av ”open source” programvaran Log4j från Apache. Infoware har här försökt beskriva det vi vet och samtidigt sätta problemet i relation till Domino-säkerhet i allmänhet.

Eftersom problemen kring log4j (version 1.x och 2.x) och lösningen på dem blir kända efterhand, så valde vi den här gången att skapa den här bloggen som vi kan uppdatera vid behov.

Här hittar ni Apaches beskrivning av de olika problemen

https://logging.apache.org/log4j/2.x/security.html

Utmaningen den här gången är att log4j används av många program- och hårdvarutillverkare. Hur ser det då ut för HCL Domino och dess kringprodukter?

HCL har gjort en ordentlig genomlysning av utsatta implementationer av log4j i deras programvaror och i korthet så ser det bra ut för HCL Domino och HCLs standardprogramvaror omkring dagens HCL Domino. Här är en länk till HCLs technote om ni vill läsa mer:

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095516

Kan vi nu känna oss helt trygga?

Nej tyvärr är det inte riktigt så. Här är några utmaningar som vi arbetar med:

1. Log4j 1.x

Även Log4j 1.x kan konfigureras så att den kritiska risken uppstår. Log4j1.x följer med i ett antal paket i Domino, Notes osv. Mycket kraft har lagts ner globalt på att analysera log4j1.x paketen i och kring Domino. Utöver för tidigare versioner av HCL Domino AppDev Pack så har inte hört om några fall där log4j 1.x varit default konfigurerad så att den kritiska risken uppstått.

Om ni använder HCL AppDev Pack versions 1.0.5 – 1.0.10 eller vill att vi skall undersöka om ni gör det så hjälper vi gärna till med att kontrollera och i så fall patcha dem till säkra versioner.

Log4j 1.x patchas inte, utan det vi hoppas på nu är helt trygga versioner av programvaror där log4j 1.x inte förekommer. Log4j version 1.x är inte trevlig att ha i sin miljö eftersom en i och för sig riktig konfiguration av den gör att den kritiska risken uppkommer.

Infoware har också arbetat med kunder för att på eget bevåg arbeta bort log4j 1.x från IBM/HCLs programvaror. Kontakta oss gärna om du vill veta mer om det.

2. Gamla versioner av Domino och kringprogramvaror

Domino är verkligen byggt kring säkerhet från första början och det finns riktigt mycket gott att säga om det. Vad som däremot inte är bra är att många organisationer använder Domino-versioner som är riktigt gamla. Notes och Domino 9 kom 2013 och även om det kommit patchar, så är ändå strukturen för gammal. Många Domino servrar innehåller därför onödiga kända svagheter (precis som äldre versioner av Windows etc.) Hör gärna av er om ni vill resonera kring hur en uppgradering skulle se ut för er miljö. I de allra flesta fallen så talar vi om små projekt som dessutom kan ge andra fördelar som HCL Nomad Web vilken gör att ni kan använda era applikationer direkt i webbläsaren.

3. Konfigurationen av HCL Domino och programvaror i dess närhet.

Många Domino-miljöer är över 20 år gamla och under resan så har mycket hänt kring säkerhet. Infoware erbjuder olika tjänster för att i möjligaste mån hålla er Domino-miljö så säker som det bara går.

  • Infoware Application Service Plus

Infowares proaktiva förvaltningstjänst för Domino där vårt XpertCenter kontinuerligt håller er Domino-miljö ajour utifrån både produktivitet och säkerhet.

  • Traditionell säkerhetsgenomgång och workshop

Konsult eller konsulter från Infoware går igenom er Domino-miljö enligt vår best practice och lämnar sedan en rapport på föreslagna åtgärder. Vanligen går vi sedan igenom rapporten i workshopform för att tillsammans prioritera och planer ev. åtgärder.

  • Automatisering av användarhantering

Felaktiga behörigheter är en vanlig orsak till säkerhetsproblem. Infoware har många referenser där vi hjälpt kunder att automatisera rutiner för användarhantering vilket ökat säkerheten, höjt kvalitén, effektiviserat och sparat licenskostnader.

  1. Tredjepartsprogramvaror och kundspecifika lösningar

Domino är en fantastisk verktygslåda. Utmaningarna här är bl.a. risken att någon av alla smarta lösningar byggt på komponenter som senare visat sig vara svaga.

Infoware hjälper gärna till med att gå igenom er Domino-miljö för att ge en bild utifrån flera olika perspektiv. Några exempel:

  • Automatiserad kontroll av vilka applikationer som används och av vem.
  • Djupare analys per applikation av använda tekniker, risker och lösningar
  • Städningsprojekt. Vi gör ett gemensamt mål och sedan genomför vi städningen i steg. Vanligen minskar städningsprojekt kostnader och mängden oanvänd kod i miljön rejält.
  1. Sametime och Connections

Både Sametime och Connections har egna technotes från HCL om log4j-problemen. För Connections finns det fixar för att uppgradera log4j2 medans senaste versionerna av Sametime i alla fall inte aktivt använder log4j2. Båda produkterna är (eller har varit) beroende av IBM WebSphere Application Server och för den finns det viktiga versionsberoende fixar.

HCLs technote om HCL Sametime

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095528

HCLs technote om HCL Connections

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095498

Tveka inte att höra av er om ni har några frågor om HCLs samarbetsprodukter eller för den delen Microsofts motsvarigheter. Infoware är som vanligt bra bemannade alla vardagar under julhelgerna.

Stort tack för 2021 alla kära kunder. Vi på Infoware önskar er alla en säker och riktigt härlig julledighet!

0