fighting for truth, justice, and a kick-butt lotus notes experience.

Kill your webadmin.NSF if you still have one

 30 Juni 2014 09:44:42
If you have still webadmin.nsf databases and webadmin.ntf templates located on your IBM Domino servers, it is time to delete them.

There is an serious issue out there since end of 2012:

CVE-2013-0489: Cross-site request forgery (CSR>F) vulnerability in webadmin.nsf (aka the Web Administrator client) in IBM Domino 8.5.x allows remote authenticated users to hijack the authentication of administrators.

IBM will not fix this one but had published in Nov. 2013 the following Technote:

No fixes are planned. IBM Domino Web Administrator is deprecated. Customers are advised to move to the fully functional Domino Administrator client.

http://www-01.ibm.com/support/docview.wss?uid=swg21652988



Don't argue, but just do it:

Delete the webadmin.nsf and the webadmin.ntf on all of your servers, if you still have them.

(Don't forget to delete the NTF, too. If the HTTP-Task will finds a webadmin.ntf during start, it will recreate a webadmin.nsf.)


Kommentare

1Richard  11.07.2014 12:17:20  Kill your webadmin.NSF if you still have one

And if you don't like the error message "missig template webadmin.ntf"

DominoNoWebAdmin=1

{ Link }

  •  
  • Hinweis zum Datenschutz und Datennutzung:
    Bitte lesen Sie unseren Hinweis zum Datenschutz bevor Sie hier einen Kommentar erstellen.
    Zur Erstellung eines Kommentar werden folgende Daten benötigt:
    - Name
    - Mailadresse
    Der Name kann auch ein Nickname/Pseudonym sein und wird hier auf diesem Blog zu Ihrem Kommentar angezeigt. Die Email-Adresse dient im Fall einer inhaltlichen Unklarheit Ihres Kommentars für persönliche Rückfragen durch mich, Detlev Pöttgen.
    Sowohl Ihr Name als auch Ihre Mailadresse werden nicht für andere Zwecke (Stichwort: Werbung) verwendet und auch nicht an Dritte übermittelt.
    Ihr Kommentar inkl. Ihrer übermittelten Kontaktdaten kann jederzeit auf Ihren Wunsch hin wieder gelöscht werden. Senden Sie in diesem Fall bitte eine Mail an blog(a)poettgen(punkt)eu

  • Note on data protection and data usage:
    Please read our Notes on Data Protection before posting a comment here.
    The following data is required to create a comment:
    - Name
    - Mail address
    The name can also be a nickname/pseudonym and will be displayed here on this blog with your comment. The email address will be used for personal questions by me, Detlev Pöttgen, in the event that the content of your comment is unclear.
    Neither your name nor your e-mail address will be used for any other purposes (like advertising) and will not be passed on to third parties.
    Your comment including your transmitted contact data can be deleted at any time on your request. In this case please send an email to blog(a)poettgen(dot)eu

Archive