Log4j, säkerhet och HCL Domino – uppdateras efterhand

Posted by:

Hej käre kund och läsare,

Under veckan som gått har mycket av IT-nyheterna handlat om kritiska svagheter (Remote code execution) i primärt version 2 av ”open source” programvaran Log4j från Apache. Infoware har här försökt beskriva det vi vet och samtidigt sätta problemet i relation till Domino-säkerhet i allmänhet.

Eftersom problemen kring log4j (version 1.x och 2.x) och lösningen på dem blir kända efterhand, så valde vi den här gången att skapa den här bloggen som vi kan uppdatera vid behov.

Här hittar ni Apaches beskrivning av de olika problemen

https://logging.apache.org/log4j/2.x/security.html

Utmaningen den här gången är att log4j används av många program- och hårdvarutillverkare. Hur ser det då ut för HCL Domino och dess kringprodukter?

HCL har gjort en ordentlig genomlysning av utsatta implementationer av log4j i deras programvaror och i korthet så ser det bra ut för HCL Domino och HCLs standardprogramvaror omkring dagens HCL Domino. Här är en länk till HCLs technote om ni vill läsa mer:

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095516

Kan vi nu känna oss helt trygga?

Nej tyvärr är det inte riktigt så. Här är några utmaningar som vi arbetar med:

1. Log4j 1.x

Även Log4j 1.x kan konfigureras så att den kritiska risken uppstår. Log4j1.x följer med i ett antal paket i Domino, Notes osv. Mycket kraft har lagts ner globalt på att analysera log4j1.x paketen i och kring Domino. Utöver för tidigare versioner av HCL Domino AppDev Pack så har inte hört om några fall där log4j 1.x varit default konfigurerad så att den kritiska risken uppstått.

Om ni använder HCL AppDev Pack versions 1.0.5 – 1.0.10 eller vill att vi skall undersöka om ni gör det så hjälper vi gärna till med att kontrollera och i så fall patcha dem till säkra versioner.

Log4j 1.x patchas inte, utan det vi hoppas på nu är helt trygga versioner av programvaror där log4j 1.x inte förekommer. Log4j version 1.x är inte trevlig att ha i sin miljö eftersom en i och för sig riktig konfiguration av den gör att den kritiska risken uppkommer.

Infoware har också arbetat med kunder för att på eget bevåg arbeta bort log4j 1.x från IBM/HCLs programvaror. Kontakta oss gärna om du vill veta mer om det.

2. Gamla versioner av Domino och kringprogramvaror

Domino är verkligen byggt kring säkerhet från första början och det finns riktigt mycket gott att säga om det. Vad som däremot inte är bra är att många organisationer använder Domino-versioner som är riktigt gamla. Notes och Domino 9 kom 2013 och även om det kommit patchar, så är ändå strukturen för gammal. Många Domino servrar innehåller därför onödiga kända svagheter (precis som äldre versioner av Windows etc.) Hör gärna av er om ni vill resonera kring hur en uppgradering skulle se ut för er miljö. I de allra flesta fallen så talar vi om små projekt som dessutom kan ge andra fördelar som HCL Nomad Web vilken gör att ni kan använda era applikationer direkt i webbläsaren.

3. Konfigurationen av HCL Domino och programvaror i dess närhet.

Många Domino-miljöer är över 20 år gamla och under resan så har mycket hänt kring säkerhet. Infoware erbjuder olika tjänster för att i möjligaste mån hålla er Domino-miljö så säker som det bara går.

  • Infoware Application Service Plus

Infowares proaktiva förvaltningstjänst för Domino där vårt XpertCenter kontinuerligt håller er Domino-miljö ajour utifrån både produktivitet och säkerhet.

  • Traditionell säkerhetsgenomgång och workshop

Konsult eller konsulter från Infoware går igenom er Domino-miljö enligt vår best practice och lämnar sedan en rapport på föreslagna åtgärder. Vanligen går vi sedan igenom rapporten i workshopform för att tillsammans prioritera och planer ev. åtgärder.

  • Automatisering av användarhantering

Felaktiga behörigheter är en vanlig orsak till säkerhetsproblem. Infoware har många referenser där vi hjälpt kunder att automatisera rutiner för användarhantering vilket ökat säkerheten, höjt kvalitén, effektiviserat och sparat licenskostnader.

  1. Tredjepartsprogramvaror och kundspecifika lösningar

Domino är en fantastisk verktygslåda. Utmaningarna här är bl.a. risken att någon av alla smarta lösningar byggt på komponenter som senare visat sig vara svaga.

Infoware hjälper gärna till med att gå igenom er Domino-miljö för att ge en bild utifrån flera olika perspektiv. Några exempel:

  • Automatiserad kontroll av vilka applikationer som används och av vem.
  • Djupare analys per applikation av använda tekniker, risker och lösningar
  • Städningsprojekt. Vi gör ett gemensamt mål och sedan genomför vi städningen i steg. Vanligen minskar städningsprojekt kostnader och mängden oanvänd kod i miljön rejält.
  1. Sametime och Connections

Både Sametime och Connections har egna technotes från HCL om log4j-problemen. För Connections finns det fixar för att uppgradera log4j2 medans senaste versionerna av Sametime i alla fall inte aktivt använder log4j2. Båda produkterna är (eller har varit) beroende av IBM WebSphere Application Server och för den finns det viktiga versionsberoende fixar.

HCLs technote om HCL Sametime

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095528

HCLs technote om HCL Connections

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095498

Tveka inte att höra av er om ni har några frågor om HCLs samarbetsprodukter eller för den delen Microsofts motsvarigheter. Infoware är som vanligt bra bemannade alla vardagar under julhelgerna.

Stort tack för 2021 alla kära kunder. Vi på Infoware önskar er alla en säker och riktigt härlig julledighet!

0

Nyheter i Domino 10, Domino 11 och lite om Connections

Posted by:

Sista veckan i februari höll HCL öppet hus i Milano och pratade om vad de planerar att göra med IBM Collaboration produkterna, som de håller på att köpa från IBM. Precis innan det var det IBM Think 2019 i San Francisco, där också en hel del nytt presenterades för framförallt Domino. Beträffande själva köpet så vet vi inte så mycket mer än att allt tyder på att det verkar bli av och att HCL tänker ge Domino en nystart.

 

Några spännande grejor som ser ut att komma med Domino 11 under Q4 2019.

 

  1. Domino som Elastic Search provider. Elastic Search kommer äntligen att kunna ersätta Dominos fulltextindex, som i mina ögon överlevt sig själv med många år. För att inte störa bakåtkompabiliteten kan Elastic aktiveras applikation för applikation.

 

  1. HTTP-autentisering mot ID Vault vilket bl.a. förenklar lösenordshantering. ID Vault blir i allt bättre med APIer etc., vilket i sig fått Dominos katalog att fungera lite mer som t.ex. Active Directory. som t.ex. inte haft Dominos problem med t.ex dubbla lösenord och klientberoenden.

 

  1. Apropå Active Directory så kommer också en helt ny AD synk.

 

  1. Ny installerare – InstallAnywhere 2018 ersätter InstallShield som gick ur tiden för länge sedan

 

  1. Domino Publisher – Snärtigare eventhanterare för både publicering- och prenumerationer knutna till databasevents och document events.

 

To be continued…. Jag skall försöka uppdatera den här posten efterhand som mer information släpps från HCL och IBM

 

Nya Domino 10 funktioner som redan släppts eller släpps efterhand

 

  1. En app (Domino Mobile Apps, kodnamn Nomad) som kör traditionella Notes-applikationer direkt från Ipads sluttestas just nu och efter den kommer även Nomad för iPhone, Android och ChromeOS. Apple versionerna av Nomad verkar distribueras via Apples B2B app store. Infoware har testat Nomad med gott resultat och vi följer utvecklingen.

 

  1. Notes-applikationsstöd som WebAssembly komponent. Nomad är också byggd för att kunna kompileras enligt WebAssembly-standarden. WebAssembly är en ny standard för att köra binärer på webb oavsett webbläsare. Web browser pluginen verkar alltså komma tillbaka, men betydligt tunnare och mer standardbaserad än tidigare. Tillsammans med ID-Vault för både Notes och http så kan det nog bli riktigt smidigt att köra både webb- och traditionella Notes applikationer från både webbläsare och mobiler https://en.wikipedia.org/wiki/WebAssembly

 

  1. Domino Query Language

 

DQL – Domino Query Language släpptes i december 2018 med Domino 10.0.1. DQL är ett nytt blixtsnabbt sätt/API/Språk för att hämta data från Domino. Om jag förstått det rätt så kommer DQL t.ex. att kunna ersätta t.ex. sök och NoteCollections i Domino applikationer.

 

  1. Domino Query Language Explorer är en Notes databas byggd för att testa DQL och få frågorna översatta till java, lotusscript eller javascript.

https://www.youtube.com/watch?v=rJNqjfML9-I

Presentationen är 11 minuter. Riktigt snyggt.

 

  1. Domino AppDev Pack 1.0 har släpptes tillsammans med Domino 10.0.1 och nu siktar HCL på att följa upp det med en ny release varje kvartal. Målet med Domino AppDev pack är att möjliggöra modernare Domino utveckling baserat på Node.js, javascript tillsammans med Domino Query Language.

 

Connections framtid, vad händer där?

HCL verkar satsa lika hårt här, även om planerna inte verkar lika klara som för Domino. Några saker har dock sipprat ut

  1. Release-tempot ökas upp till ett nytt Feature pack per kvartal och paketen utlovas att innehålla mer nytt. Senast nu under Q1 släpptes IC6 CR4 med bland annat en funktion för att dela enskilda filer externt m.h.a. direktlänkar som sedan inte kräver inloggning. Den funktionen har iallafall jag längtat efter. Infoware släpper förresten DomainPatrol Social support för IC6 CR4 nu i dagarna.
  2. IBM Connections kund-Jams för att samla input framåt är igång nu i stil med HCLs Jams inför Domino 10 och senast Domino 11

 

Länkar till mina viktigaste källor

 

Bra sammanfattning om IBM Collaboration på IBM Think nu under februari 2019

https://domino.elfworld.org/this-is-what-happened-at-ibm-think-2019/

 

Bra sammanfattning från HCLs konferens i Milano nu sista veckan i februari 2019

https://www.c3ug.ca/c3ug-blog/2019/3/1/hcl-factory-tour-episode-2-a-new-base-a-new-hope-a-new-beginning

_______________________________________________________________________________________________

Picture copyright and cudos belongs to colleague and photographer Tony Andersson

https://500px.com/tonyandersson

 

 

 

 

 

0

Infoware, Enterprise Collaboration and Identity

Posted by:

Infowares history and role from 1995 onward has been the pro-active, technical, business-oriented drivers. Our focus in the “digital transformation” is to help large organizations getting their collaboration platforms smart, efficient and secure. Our purpose with this, is a conviction that smarter collaboration and technology can make the planet a better place to live.

We work with organizations from 30 to 120 000 users with 50% of our billing on each side of the 10 000-user mark. Infowares technical place is primarily the central IT highways and/or Group Communication. Typically, we work with core catalogs, intranets, migrations, email optimization, federation services and application infrastructure etc. Until 10 years ago many Swedish organizations used IBM Domino for a large portion of their collaboration solutions. Since then +90% has changed to use Microsoft technologies for their base services, but many continue with IBM Domino for agile collaborative business applications.

An Enterprise Collaboration project, from the technical side, is seldom about developing beautiful front ends or implementing cool tools to the end user. Instead our role is more often to automate processes for how users (Identity Management) in separate catalogs and data in different applications can work together or be moved without disturbances. Such work often gets down to a mix of experience, respect for size, technical skills, patience, tests, tests and in the end politics. I think our most important success factor has been a culture to do the extra miles and never ever give up.

Of course, we have also developed many solutions (and skills) to automate the large amounts of changes in identities, collaboration applications and even the tools used. Sometimes we have been used as architects or developers, but of course we have also been the fire department when central systems got issues. We are now a highly experienced team of experts, with a good understanding on Enterprise Collaboration from both the technical and business logic sides.

Some of our solutions got repeatable and even to the next levels products and services. We think our customers like our innovation process; (a.) real world Enterprise Collaboration problem, (b.) Enterprise Solution, (c.) repeatable solution, (d.) Standard Product and eventually (e.) a service.

Another side of working with Enterprise Collaboration and Identity are migrations driven by digital transformation and organisational mergers. We, the movers, have helped our customer with complex splits, merges, system changes or why not to move part of their on-premise collaboration platforms to Office 365 and implement MS Teams at the same time. From our experience the IBM Domino customers are collaborating more (in Office 365) compared to the many on-premise Microsoft customers. We are sure the on-premise Microsoft customers will take the jump too, and to do this they will need experienced movers like us.

Another trend is contract services and outsourcing. Infoware is a relevant contract service provider for solutions that we have built and for IBM Domino environments, where we have super human capabilities and economy of scale.

 

Picture copyright and cudos belongs to colleague and photographer Tony Andersson (https://500px.com/tonyandersson)

0