本文へジャンプ

(参考)Lotus Notes のクライアント ECL に関する潜在的な脆弱性の問題

この文書は、米国 IBM 社の資料 ("1270884") を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。

問題 (Problem)

Lotus Notes クライアントの操作制御リスト(ECL)に関する潜在的なセキュリティの問題が、Ed Schaller 氏より IBM Lotus に報告されました。

Lotus Notes R4.5 より導入された ECL により、メール爆弾、ウィルス、トロイの木馬、意図しないアプリケーション侵入といった脅威を防ぐことができます。ECL により、プログラムやコードの実行を許可するかどうかをユーザーが制御するメカニズムが提供されています。ところが、ある特定の限定された状況において、Lotus Notes のデータベース(nsf)やテンプレート(ntf)に添付ファイルが関連する場合に、このメカニズムによる「セキュリティ警告」が表示されない可能性があるということがわかりました。

ECL によるセキュリティチェック機能は、Notes データベース内の添付ファイルを直接開いたり、ボタンを手動で実行して開いた場合は正常に動作します。ところが、同じコードがナビゲータに埋め込まれている場合にのみ潜在的な問題が起こりうる可能性があります。この条件下においては、実行セキュリティ警告が表示されず、添付ファイルが自動的に実行されます。

解決策 (Solution)

本件は問題報告番号 KEMG6WELNR として Lotus Quality Engineering に報告され、Lotus Notes 7.0.3 および 8.0 で修正されました。

見覚えのない添付ファイルを開いたり参照する際には特にご注意ください。
また、実績のあるウィルススキャンプログラムを導入し、添付ファイルをフィルタリングすることを推奨します。

補足情報 (Supporting Information)

本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。

重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。 CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS V2 概説」をご参照ください。

Security Rating using Common Vulnerability Scoring System (CVSS) v2
CVSS Base Score: < 9.3 >
Impact Subscore: < 10 >
Exploitability Subscore: < 8.6 >
CVSS Temporal Score: < 7.3 >
CVSS Environmental Score: < Undefined* >
Overall CVSS Score: < 7.3 >
Base Score Metrics:
  • Related exploit range/Attack Vector: < Network >
  • Access Complexity: < Medium >
  • Authentication < None >
  • Confidentiality Impact: < Complete >
  • Integrity Impact: < Complete >
  • Availability Impact: < Complete >
Temporal Score Metrics:
  • Exploitability: < Proof of Concept Code >
  • Remediation Level: < Official Fix >
  • Report Confidence: < Confirmed >
References:
Complete CVSS Guide
共通脆弱性評価システム CVSS V2 概説
脆弱性の深刻度評価の新バージョンCVSS v2への移行について

CVSS Caluculator:
(英語) Online Calculator
(日本語) Online Calculator

* Environmental Score (環境評価基準) は、製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、 CVSS 環境値 (Environmental Score) を算出します。 これは、お客様自身が脆弱性への対応を決めるために評価する基準です。

関連文書 (Related Document)


掲載内容は2007年10月25日現在の情報です。内容は事前の予告なく変更することがあります。
IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International Business Machines Corporation の商標です。
他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。
現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml (US) をご覧ください。


上へ戻る

 
Lotus software

文書情報

プロダクト・ファミリー
Notes

プロダクト・カテゴリー
Workstation/Desktop > General Functionality > Other

オペレーティングシステム

ソフトウェア・バージョン
Notes Client 8.x (Standard); Notes Client 8.x (Basic); Notes Client 7.x; Notes Client 6.5.x

文書番号
731306

最終更新日
2007年10月25 日