この文書は、米国 IBM 社の資料 ("Potential Cross Site Scripting (XSS) Vulnerability in IBM Lotus Domino Web Server ") を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。
問題 (Problem)
Lotus Domino Web サーバーのクロスサイトスクリプティング (XSS) に関する潜在的な脆弱性が、JPCERT/CC より IBM Lotus に報告されました。
アドバイザリー (注意喚起) へは下記のリンクからアクセスできます。
Japan Vulnerability Notes
攻撃者がこの脆弱性を利用するためには、下記の条件を満たす必要があります。
- Lotus Domino Web サーバータスク (HTTP) が有効になっていること。
- 攻撃者がクロスサイトスクリプティングの脆弱性を引き起こす特定の URL を作成すること。
- 攻撃者がブラウザ経由で Lotus Domino サーバーの認証を受けること。
- ユーザーが細工された URL をクリックすること。
- 上記の結果、XSS の脆弱性の問題が引き起こされます。
解決策 (Solution)
本件は、問題報告番号 KEMG6ZK34H として Lotus Quality Engineering に報告され、Lotus Domino 6.5.6 Fix Pack 2 (FP2)、7.0.2 Fix Pack 2 (FP2)、7.0.3、8.0 で修正されました。
補足情報 (Supporting Information)
本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。
重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS V2 概説」 をご参照ください。
| Security Rating using Common Vulnerability Scoring System (CVSS) v2 |
| CVSS Base Score: < 4.3 > Impact Subscore: < 2.9 > Exploitability Subscore: < 8.6 > CVSS Temporal Score: < 3.4 > CVSS Environmental Score: < Undefined* > Overall CVSS Score: < 3.4 > |
Base Score Metrics:
|
Temporal Score Metrics:
|
| References: Complete CVSS Guide 共通脆弱性評価システム CVSS V2 概説 脆弱性の深刻度評価の新バージョンCVSS v2への移行について CVSS Caluculator: (英語) Online Calculator (日本語) Online Calculator |
* Environmental Score (環境評価基準) は、製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、CVSS 環境値 (Environmental Score) を算出します。 これは、お客様自身が脆弱性への対応を決めるために評価する基準です。
関連文書 (Related Document)
掲載内容は2007年11月19日現在の情報です。内容は事前の予告なく変更することがあります。 IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International Business Machines Corporation の商標です。他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml (US) をご覧ください。
文書情報
プロダクト・ファミリー
Domino Server
プロダクト・カテゴリー
Server > Security > Local Security
オペレーティングシステム
ソフトウェア・バージョン
Domino Server 7.x; Domino Server 6.x
文書番号
730895
最終更新日
2007年11月19 日