|
ニュース検索
ピックアップ
今週のIT求人情報
|
CERT、Lotus 製品の脆弱性をまとめた勧告を発表CERT/CC は26日、IBM のサーバー製品『Lotus Domino』および『Lotus Notes』クライアントに関する、複数の脆弱性の情報を取りまとめたセキュリティ勧告を発表した。いずれも IBM 側の対応は済んでおり、利用者側の対処を勧めるものだ。
今回のセキュリティ勧告は、セキュリティ調査会社 NGSS が2月に、そして Rapid7 が3月に指摘した、IBM の Lotus 製品の複数の脆弱性に関して、情報を一元化し状況を整理するのが主な狙いだ。 NGSS が報告した脆弱性は、特定のパラメータに対し、与える値を故意に長くすることや特定形式の不正 URL によって、『iNotes Web Access』がバッファオーバーフローを起こす問題。それから、不完全な POST 要求で Web サーバー機能が停止し得る問題や、特定条件のもとでリダイレクト処理をする際に、バッファオーバーフローを起こすといった、『Domino』関連の問題だ。以上の脆弱性については、Domino 5.0.12 および 6.0.1 で対応が済んでいる。 また NGSS が当初、iNotes ActiveX コントロールの脆弱性として報告していた問題については、iNotes および ActiveX 固有の問題ではなく、iNotes ActiveX コントロールは脆弱性発現の媒介に過ぎないとしている。また、ActiveX 固有の問題ではないことから、Microsoft Windows 以外のプラットフォームで、Lotus Notes クライアントや Domino サーバーを運用している環境でも、問題となり得るという。この問題は、Domino 6.0 で iNotes ActiveX コントロールを用いる際に発現するが、IBM はつい先ごろ、6.0.1 用の修正パッチ『CF1』を公開している。 セキュリティ調査会社の Rapid7 が報告した脆弱性は、Domino サーバーの Notes クライアント認証時に起きるバッファオーバーフローと、Domino サーバーおよび Notes クライアント上にある、Web サーバーへのアクセスを実現するプロセスが、バッファオーバーフローの脆弱性を持つというもの。いずれの脆弱性についても、Domino 5.0.12 および 6.0.1 で対応済みとなっている。
新着ニュース・コラム ホワイトペーパー
|
注目のトピックス 話題の記事
カラオケ「JOYSOUND」に新機種、ギター演奏やコラボ動画でバンド活動ができるように
「ピース」サインはギリシャでは侮辱の仕草―トリップアドバイザー「外国でやってはいけないハンドサイン」
目の疲れや肩こり・腰痛、その原因は PC やスマホが発する“ブルーライト”
地図サイト「MapFan」、全キャリアの Android・iPhone に対応
NIFTY-Serve の「フォーラム」が1年限定で復活
⇒一覧を見る
アクセスランキング
最新コラム一覧
|
||||||||||||||||||||