IBM、Shadow Brokersの流出情報で発覚したDominoの脆弱性に対処

[鈴木聖子，ITmedia]

　米IBMのLotus Dominoの脆弱性（ぜいじゃく）に関する情報が公開されていた問題で、IBMが更新プログラムを公開して脆弱性に対処した。この脆弱性を巡っては、米国家安全保障局（NSA）のハッキングツール流出にかかわったとされる集団「Shadow Brokers」が4月に公開した情報の中に、エクスプロイト（悪用プログラム）が含まれると報じられていた。

IBM DominoのWebページ

　IBMによると、IBM DominoサーバのIMAP EXAMINEコマンドに、スタックバッファオーバーフローの脆弱性が存在する。この問題をリモートの攻撃者に悪用されれば、Dominoサーバの特権で任意のコードを実行される可能性がある。

IBMが脆弱性を修正したアップデートを公開している

　この脆弱性を突くエクスプロイトは、「EMPHASISISMINE」のコード名で公開されていたという。危険度は共通脆弱性評価システム（CVSS）のベーススコアで9.0（最大値は10.0）と、極めて高い。

　IBMは、このほど公開したDomino 9.0.1 Feature Pack 8 Interim Fix 2（FP8 IF2）と、Domino 8.5.3 Fix Pack 6 Interim Fix 17（FP6 IF17）で、今回の脆弱性を修正し、全ユーザーに適用を呼び掛けている。