IBMのLotus DominoとSametimeに深刻な脆弱性、パッチを公開:XSSや任意のコード実行の恐れ
Lotus Domino Webサーバの脆弱性は、クロスサイトスクリプティング攻撃や任意のコード実行に利用される可能性がある。
米IBMは、Lotus Domino WebサーバとLotus Sametime Community Servicesに深刻な脆弱性があるとし、これに対処するパッチを公開した。
IBMやセキュリティ企業Secuniaのアドバイザリーによると、Lotus Domino Webサーバには2件の脆弱性が存在する。このうち、スタックオーバーフローの脆弱性では細工を施したHTTPリクエストを使って悪用し、任意のコードを実行できてしまう。クロスサイトスクリプティング(XSS)の脆弱性では、ブラウザで悪質なリクエストを処理させてXSS攻撃を仕掛けられる恐れがある。
Secuniaの危険度評価は5段階で上から2番目に高い「Highly critical」。Lotus Domino 7.0.3 Fix Pack 1(FP1)と8.0.1で脆弱性が修正された。
これとは別に、Lotus Sametime Community Servicesにも脆弱性が見つかっている。仏FrSIRTのアドバイザリーによると、Sametime Community Services multiplexer(MUX)で不正なHTTPリクエストを処理する際のバッファオーバーフローエラーが原因となり、システムのクラッシュや任意のコードを実行される可能性がある。
FrSIRTの深刻度評価は4段階で上から2番目に高い「High Risk」となっている。影響を受けるのはLotus Sametime 7.5.xと8.x。バージョン8.0.1で問題が修正されている。
関連記事
- IBM Lotus Expeditorに深刻な脆弱性
- IBM DB2に権限昇格の脆弱性
- Lotus Notesにバッファオーバーフローの脆弱性、添付ファイルで悪用の恐れ
- (オルタナティブ・ブログ)iPhone, iPodで動くLotus Notes 登場!? 〜Lotusphere 2008 Orlandoより〜
- (オルタナティブ・ブログ)Lotus Notes/Dominoの歴史(日本語)
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.