（参考）Lotus Domino Web サーバーのクロスサイトスクリプティングに関する潜在的な脆弱性について

Lotus Domino Web サーバーのクロスサイトスクリプティング (XSS) に関する潜在的な脆弱性が、JPCERT/CC より IBM Lotus に報告されました。

アドバイザリー (注意喚起) へは下記のリンクからアクセスできます。
Japan Vulnerability Notes

攻撃者がこの脆弱性を利用するためには、下記の条件を満たす必要があります。

1. Lotus Domino Web サーバータスク (HTTP) が有効になっていること。
2. 攻撃者がクロスサイトスクリプティングの脆弱性を引き起こす特定の URL を作成すること。
3. 攻撃者がブラウザ経由で Lotus Domino サーバーの認証を受けること。
4. ユーザーが細工された URL をクリックすること。
5. 上記の結果、XSS の脆弱性の問題が引き起こされます。

本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。

重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS V2 概説」 をご参照ください。

Security Rating using Common Vulnerability Scoring System (CVSS) v2

CVSS Base Score: < 4.3 > Impact Subscore: < 2.9 > Exploitability Subscore: < 8.6 > CVSS Temporal Score: < 3.4 > CVSS Environmental Score: < Undefined* > Overall CVSS Score: < 3.4 >

Base Score Metrics: Related exploit range/Attack Vector: < Network > Access Complexity: < Medium > Authentication < None > Confidentiality Impact: < None > Integrity Impact: < Partial > Availability Impact: < None >

Temporal Score Metrics: Exploitability: < Proof of Concept Code > Remediation Level: < Official Fix > Report Confidence: < Confirmed >

References: Complete CVSS Guide 共通脆弱性評価システム CVSS V2 概説 脆弱性の深刻度評価の新バージョンCVSS v2への移行について CVSS Caluculator: (英語) Online Calculator (日本語) Online Calculator

* Environmental Score (環境評価基準) は、製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、CVSS 環境値 (Environmental Score) を算出します。 これは、お客様自身が脆弱性への対応を決めるために評価する基準です。

関連文書 (Related Document)

(英文) 「Potential Cross Site Scripting (XSS) Vulnerability in IBM Lotus Domino Web Server」 (Technote #1263871)

2008 IBM Corporation. All rights reserved. Material may not be reproduced or distributed in any form without permission. 掲載内容は 11/07/2007 現在の情報です。内容は事前の予告なく変更することがあります。 Lotus Domino、Lotus NotesはIBMの商標。その他、記載された社名および製品名は、それぞれ各社の商標または登録商標です。