IBMのLotus Dominoに深刻な脆弱性

Lotus Dominoに任意のコード実行につながる脆弱性が複数報告され、IBMがパッチをリリースした。

[ITmedia]

　IBMは、Lotus Dominoに見つかった深刻な脆弱性を修正するアップデートをリリースした。問題を悪用されるとスクリプト挿入攻撃やDoS攻撃を仕掛けられ、システムを制御されてしまう恐れがあるという。

　Secuniaなどセキュリティ各社のアドバイザリーによると、脆弱性は3件ある。このうちActive Content Filterの問題では、Lotus Domino Web Accessで電子メールの内容を表示する際の事前チェックが不適切なことが原因。ブラウザを介して細工が施されたメールを開くと、任意のHTMLやスクリプトコードを実行させることが可能になる。

　CRAM-MD5認証の際のIMAPサービス（nimap.exe）に存在する境界エラー問題は、悪用されると過度に長いユーザーネームを使ってバッファオーバーフローが引き起こされ、DoS攻撃につながるおそれがある。Secuniaは、任意のコードを実行される可能性も指摘している。

　3番目の脆弱性は、特定のリクエストを処理する際のLDAPサービスのエラーが原因で発生。細工を施したリクエストを使ってバッファオーバーフローを引き起こし、サービスをクラッシュさせて任意のコードを実行することができてしまう。

　影響を受けるのはLotus Domino 6.xと7.x、およびLotus Domino Web Access (iNotes)

6.xと7.x。IBMは問題を修正したアップデートバージョンの6.5.6と7.0.2 Fix Pack 1をリリースしている。