CERT、Lotus 製品の脆弱性をまとめた勧告を発表

CERT/CC は26日、IBM のサーバー製品『Lotus Domino』および『Lotus Notes』クライアントに関する、複数の脆弱性の情報を取りまとめたセキュリティ勧告を発表した。いずれも IBM 側の対応は済んでおり、利用者側の対処を勧めるものだ。

今回のセキュリティ勧告は、セキュリティ調査会社 NGSS が2月に、そして Rapid7 が3月に指摘した、IBM の Lotus 製品の複数の脆弱性に関して、情報を一元化し状況を整理するのが主な狙いだ。

NGSS が報告した脆弱性は、特定のパラメータに対し、与える値を故意に長くすることや特定形式の不正 URL によって、『iNotes Web Access』がバッファオーバーフローを起こす問題。それから、不完全な POST 要求で Web サーバー機能が停止し得る問題や、特定条件のもとでリダイレクト処理をする際に、バッファオーバーフローを起こすといった、『Domino』関連の問題だ。以上の脆弱性については、Domino 5.0.12 および 6.0.1 で対応が済んでいる。

また NGSS が当初、iNotes ActiveX コントロールの脆弱性として報告していた問題については、iNotes および ActiveX 固有の問題ではなく、iNotes ActiveX コントロールは脆弱性発現の媒介に過ぎないとしている。また、ActiveX 固有の問題ではないことから、Microsoft Windows 以外のプラットフォームで、Lotus Notes クライアントや Domino サーバーを運用している環境でも、問題となり得るという。この問題は、Domino 6.0 で iNotes ActiveX コントロールを用いる際に発現するが、IBM はつい先ごろ、6.0.1 用の修正パッチ『CF1』を公開している。

セキュリティ調査会社の Rapid7 が報告した脆弱性は、Domino サーバーの Notes クライアント認証時に起きるバッファオーバーフローと、Domino サーバーおよび Notes クライアント上にある、Web サーバーへのアクセスを実現するプロセスが、バッファオーバーフローの脆弱性を持つというもの。いずれの脆弱性についても、Domino 5.0.12 および 6.0.1 で対応済みとなっている。