（参考）IBM Lotus Sametime サーバーのクロスサイトスクリプティングに関する潜在的な脆弱性について

ある特定の方法で Sametime ミーティングを巧妙に細工することにより、クロスサイトスクリプティング（XSS）の脆弱性に関する問題が発生します。

解決策 (Solution)

本件は問題報告番号 RPOH75GNEF として Lotus Quality Engineering に報告され、Lotus Sametime 7.5.1 に対する修正プログラム（Hotfix）で問題が修正されています。修正プログラムを入手するためには、ロータス・カスタマーサポートまでご連絡ください。今後出荷されるリリースでは、この問題は発生しません。

補足情報 (Supporting Information)

共通脆弱性評価システム（Common Vulnerability Scoring System：CVSS）によるセキュリティ評価値

CVSS Base Score: 1.1
CVSS Temporal Score: 0.9
CVSS Environmental Score: Undefined*
Overall CVSS Score: 0.9

*The CVSS Environment Score is customer environment-specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the referenced links below.

Base Score Metrics:
Related exploit range/Attack Vector: Remote
Attack Complexity: High
Level of Authentication Needed: Required
Confidentiality Impact: Partial
Integrity Impact: None
Availability Impact: None
Impact Value Weighting: Normal

Temporal Score Metrics:
Availability of Exploit: Proof of Concept Code
Type of Fix available: Official Fix
Level of verification that vulnerability exists: Confirmed

References:
Complete CVSS Guide
ソフトウェア等におけるセキュリティ上の弱点の深刻度評価の試行について
共通脆弱性評価システム CVSS 概説

CVSS Caluculator:
(英語) Online Calculator
(日本語) Online Calculator

関連文書 (Related Document)

(英文) Potential Cross Site Scripting (XSS) vulnerability in IBM Lotus Sametime Server (Technote #1266789)

2008 IBM Corporation. All rights reserved. Material may not be reproduced or distributed in any form without permission. 掲載内容は 08/09/2007 現在の情報です。内容は事前の予告なく変更することがあります。 Lotus Domino、Lotus NotesはIBMの商標。その他、記載された社名および製品名は、それぞれ各社の商標または登録商標です。