IBMのLotus Dominoで複数の脆弱性が報告された。悪用されるとサーバのクラッシュやサービス妨害(DoS)攻撃につながる恐れがあるという。IBMではDomino 6.5.4と6.0.5でこの問題に対処、顧客にアップグレードを呼び掛けている。
Secuniaのアドバイザリーによると、Domino ServerでWebからアップデート可能な特定の時間/データフィールドを処理する際に境界エラー問題が発生、細工を施したPOSTリクエストを通過させることでバッファオーバーフローが引き起こされる恐れがある。
IBMではこれによってDominoサーバがクラッシュする可能性があるとしているが、この問題を発見したNGS Softwareでは、コード実行も可能だと指摘しているという。
さらに、DominoサーバでNRPC Notesプロトコルを使って認証を処理する際のフォーマットストリングエラー問題は、細工を施したストリングを使って悪用される可能性がある。IBMではこれによってサーバがクラッシュする恐れはあるが、報告されているようなコード実行は証明されていないとしている。
このほかにもLotus NotesクライアントのNOTES.INIに存在する境界エラーなど複数の脆弱性が存在。Secuniaでは「極めて深刻」と評価している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR