IBM、Lotus Dominoの脆弱性に対処

Lotus Dominoで、サーバのクラッシュやDoS攻撃につながる恐れがある複数の脆弱性が報告された。IBMはアップグレードを呼び掛けている。

[ITmedia]

　IBMのLotus Dominoで複数の脆弱性が報告された。悪用されるとサーバのクラッシュやサービス妨害（DoS）攻撃につながる恐れがあるという。IBMではDomino 6.5.4と6.0.5でこの問題に対処、顧客にアップグレードを呼び掛けている。

　Secuniaのアドバイザリーによると、Domino ServerでWebからアップデート可能な特定の時間／データフィールドを処理する際に境界エラー問題が発生、細工を施したPOSTリクエストを通過させることでバッファオーバーフローが引き起こされる恐れがある。

　IBMではこれによってDominoサーバがクラッシュする可能性があるとしているが、この問題を発見したNGS Softwareでは、コード実行も可能だと指摘しているという。

　さらに、DominoサーバでNRPC Notesプロトコルを使って認証を処理する際のフォーマットストリングエラー問題は、細工を施したストリングを使って悪用される可能性がある。IBMではこれによってサーバがクラッシュする恐れはあるが、報告されているようなコード実行は証明されていないとしている。

　このほかにもLotus NotesクライアントのNOTES.INIに存在する境界エラーなど複数の脆弱性が存在。Secuniaでは「極めて深刻」と評価している。