Lotus Domino ServerにDoSの脆弱性？ セキュリティ企業が指摘

iDEFENSEによると、「Lotus Domino Server」のWebサーバ機能にDoSの脆弱性が存在するという。しかしIBM側は「問題を再現できない」とし、パッチは提供していない。

[ITmedia]

　セキュリティ企業のiDEFENSEは4月6日、IBMのグループウェア製品「Lotus Domino Server」のWebサーバ機能に、リモートからDoS攻撃を受けるおそれのある脆弱性が存在すると指摘するアドバイザリを公開した。

　iDEFENSEによるとこの脆弱性は、少なくともLotus Domino Server 6.0.3および6.5.1で確認された。特定のUNICODE形式で長い文字列を含むよう細工を施したHTTP GET リクエストを送り付けることにより、Lotus Domino ServerのnHTTP.exeプロセスがクラッシュし、サーバがDoS状態に陥る恐れがあるという。

　iDEFENSEでは今年2月に、この脆弱性に関する情報をIBMに送付した。だが、この情報を受けてIBMが調査を行ったところ、どのバージョンでも問題は再現されなかったという。このためIBMでは特にパッチなどを提供する予定はないということだ。

　iDEFENSEでは、問題が確認されなかったバージョン6.5.3にアップグレードするか、ファイアウォールなどを用いてLotus Domino Serverへのアクセスを制限するといった手立てを取るよう推奨している。