この文書は、米国 IBM 社の資料 ("Potential denial of service in Lotus Notes due to malformed SMTP message ") を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。
問題 (Problem)
DoS (Denial of Service) 攻撃およびリモートコードの実行が引き起こされる可能性のある潜在的な脆弱性の問題が、Dan Ritter & the VCC により IBM Lotus に報告されました。
この問題は、特定の巧妙に細工された SMTP メッセージにより引き起こされる可能性があります。
Lotus Notes クライアントのバージョンによって、クラッシュ発生時には下記のいずれかのスタックトレースが含まれる NSD を出力します。
Fatal Thread #1: nlnotes
nnotesws.CEdDocMark::DeleteMark+5
Fatal Thread #2: nlnotes
nnotesws.CEdDocMark::DeleteMark+20
Fatal Thread #3: nlnotes
nnotesws.CEdHotSpotRun::Load+3
解決策 (Solution)
この脆弱性の問題には、2 つの異なるタイプがあり、問題報告番号 SNES6NMVG7 および ABUI76AJAM として Lotus Quality Engineering に報告されました。詳細は下記の表をご参照ください。
これらの障害は、特定の巧妙に細工された SMTP メッセージにより引き起こされるという点で類似しています
| 問題報告番号 | 現象 | 修正バージョン |
| SNES6NMVG7 | SMTP メッセージに特定のテキストが含まれる場合に発生する | Lotus Notes 7.0.3 および 8.0 にて修正 |
| ABUI76AJAM | SMTP メッセージに特定の添付ファイルが含まれる場合に発生する | Lotus Notes 7.0.4 および 8.0.1 にて修正 |
注: この問題は Lotus Notes クライアントに関するものであり、Lotus Domino サーバーには影響ありません。
補足情報 (Supporting Information)
本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。
重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS V2 概説」をご参照ください。
| Security Rating using Common Vulnerability Scoring System (CVSS) v2 |
| CVSS Base Score: < 9.3 > Impact Subscore: < 10 > Exploitability Subscore: < 8.6 > CVSS Temporal Score: < 7.3 > CVSS Environmental Score: < Undefined* > Overall CVSS Score: < 7.3 > |
| Base Score Metrics: ・ Related exploit range/Attack Vector: < Network > ・ Access Complexity: < Medium > ・ Authentication < None > ・ Confidentiality Impact: < Complete > ・ Integrity Impact: < Complete > ・ Availability Impact: < Complete > |
| Temporal Score Metrics: ・ Exploitability: < Proof of Concept Code > ・ Remediation Level: < Official Fix > ・ Report Confidence: < Confirmed > |
| References: Complete CVSS Guide 共通脆弱性評価システム CVSS V2 概説 脆弱性の深刻度評価の新バージョンCVSS v2への移行について CVSS Caluculator: (英語) Online Calculator (日本語) Online Calculator |
* Environmental Score (環境評価基準) は、製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、CVSS 環境値 (Environmental Score) を算出します。 これは、お客様自身が脆弱性への対応を決めるために評価する基準です。
更新履歴
2007/10/25 初公開
2008/08/04 問題報告番号 ABUI76AJAM 追加
2009/05/01 問題報告番号 ABUI76AJAM は 7.0.4 で修正されたことを記述
関連文書 (Related Document)
掲載内容は2009年5月1日現在の情報です。内容は事前の予告なく変更することがあります。 IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International Business Machines Corporation の商標です。他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml (US) をご覧ください。
文書情報
プロダクト・ファミリー
Notes
プロダクト・カテゴリー
Workstation/Desktop > Install/Load/Run > Issues Running Product
オペレーティングシステム
Windows
ソフトウェア・バージョン
Notes Client 8.x (Standard); Notes Client 8.x (Basic); Notes Client 7.x; Notes Client 6.5.x
文書番号
731308
最終更新日
2009年05月01 日