本文へジャンプ

(参考)Lotus Domino Web Access のクロスサイトスクリプティングに関する潜在的な脆弱性について (問題報告番号 KEMG6SRVDM)

この文書は、米国 IBM 社の資料 ("Lotus Domino Web Access Cross-Site Scripting Vulnerability ") を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。

問題 (Problem)

Lotus Domino Web Access (DWA) のクロスサイトスクリプティングに関する潜在的な脆弱性が iDefense より IBM Lotus に報告されました。

メールをブラウザから参照した際の悪意あるコードの実行を防止するため、Active Content Filter の機能を、特定の環境下に適用できるようにアップデートする必要があるというものです。

アドバイザリー (注意喚起) へは下記のリンクからアクセスできます。
iDefense Labs

解決策 (Solution)

本件は、問題報告番号 KEMG6SRVDM として Lotus Quality Engineering に報告され、Lotus Domino 8.0、7.0.3、7.0.2 Fix Pack 1 (FP1)、6.5.6 および 6.5.5 Fix Pack 3 (FP3) で修正されました。

補足情報 (Supporting Information)


Attack vector: Remote
Impact: Cross site scripting

Assessing this vulnerability using the Common Vulnerability Scoring System (CVSS):
CVSS Base Score: 3.5
CVSS Temporal Score: 2.7
CVSS Environmental Score: Undefined*
Overall CVSS Score: 2.7

*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the referenced links below.

Base Score Metrics:
Related exploit range/Attack Vector: Remote
Attack Complexity: Low
Level of Authentication Needed: Not Required
Confidentiality Impact: Partial
Integrity Impact: None
Availability Impact: None
Impact Value Weighting: Weight Confidentiality

Temporal Score Metrics:
Availability of Exploit: Proof of concept code
Type of Fix available: Official fix
Level of verification that vulnerability exists: Confirmed

References:
Complete CVSS Guide
ソフトウェア等におけるセキュリティ上の弱点の深刻度評価の試行について
共通脆弱性評価システム CVSS 概説

CVSS Caluculator:
(英語) Online Calculator
(日本語) Online Calculator

関連文書 (Related Document)

(英文) Lotus Domino Web Access Cross-Site Scripting Vulnerability (Technote #1257026)


掲載内容は2007年10月29日現在の情報です。内容は事前の予告なく変更することがあります。
IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International Business Machines Corporation の商標です。
他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。
現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml (US) をご覧ください。


上へ戻る

 
Lotus software

文書情報

プロダクト・ファミリー
Lotus Domino Web Access

プロダクト・カテゴリー
Server > Security > Local Security

オペレーティングシステム

ソフトウェア・バージョン
Lotus Domino Web Access 7.x; Lotus Domino Web Access 6.x

文書番号
730554

最終更新日
2007年10月29 日