IBM Lotus サポート - Japan
IBM®
本文へジャンプ
    Japan 変更      ご利用条件
 
 
   
     ホーム      製品      サービス & ソリューション      サポート & ダウンロード      マイアカウント     

Lotus  >  サポート  >  サポート技術情報  >

(参考)LotusScript の Evaluate メソッドが意図しない結果を返す

この文書は、米国 IBM 社の資料 ("Evaluate LotusScript Method Returning Unexpected Results") を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。

問題 (Problem)

LotusScript の潜在的な脆弱性に関する問題が、 TIMETOACT Software & Consulting GmbH and Daniel Nashed of Nash!Com の Michael Gollmick 氏より IBM Lotus に報告されました。

解決策 (Solution)

本件は問題報告番号 KEMG6M9RAU として Lotus Quality Engineering に報告され、Lotus Domino 7.0.2 Fix Pack 3 (FP3)、7.0.3 および 8.0 で修正されました。

ビューやエージェントを設計する際に LotusScript の Evaluate メソッドを特定の @ 関数と組み合わせて使用すると、意図しない結果を返すことがあります。限定された状況においては、ユーザーが通常アクセスすることができない情報を返すケースが考えられます。この状況は、エージェントやビューがどのように設計されているか、ビューやエージェントを実行する識別 (サーバーもしくはユーザー) に依存します。

これまでは、デフォルトのセキュリティコンテキストがサーバーになっていました。そのため、特定の条件下ではサーバーのセキュリティコンテキストが使用されていました。

Lotus Domino 7.0.2 Fix Pack 3 (FP3)、7.0.3 および 8.0 より、notes.ini パラメータ "Enforce_EffectiveUserRights_EvaluateCommand" を使用することで、セキュリティコンテキストを制御することができるようになりました。

この新しい notes.ini パラメータを 0 (無効) もしくは 1 (有効) のいずれかに設定することにより、サーバーのセキュリティコンテキストもしくはユーザーのセキュリティコンテキストが使用されることになります。パラメータを設定しなかった場合、それぞれのバージョンのデフォルト設定が使用されることになります。

  • Lotus Domino 7.0.2 Fix Pack 3 (FP3)、7.0.3 のデフォルト設定:無効
  • Lotus Domino 8.0 以降のデフォルト設定:有効


補足情報 (Supporting Information)

データベース設計は Lotus Notes クライアントおよび Web ブラウザの両方でテストを行い、いずれの場合も意図した結果を返すことを確認してください。


本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。

重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS V2 概説」をご参照ください。

Security Rating using Common Vulnerability Scoring System (CVSS) v2
CVSS Base Score: < 3.5 >
Impact Subscore: < 2.9 >
Exploitability Subscore: < 6.8 >
CVSS Temporal Score: < 2.7 >
CVSS Environmental Score: < Undefined* >
Overall CVSS Score: < 2.7 >
Base Score Metrics:
  • Related exploit range/Attack Vector: < Network >
  • Access Complexity: < Medium >
  • Authentication < Single Instance >
  • Confidentiality Impact: < Complete >
  • Integrity Impact: < None >
  • Availability Impact: < None >
Temporal Score Metrics:
  • Exploitability: < Proof of Concept Code >
  • Remediation Level: < Official Fix >
  • Report Confidence: < Confirmed >
References:
Complete CVSS Guide
共通脆弱性評価システム CVSS V2 概説
脆弱性の深刻度評価の新バージョンCVSS v2への移行について

CVSS Caluculator:
(英語) Online Calculator
(日本語) Online Calculator

* Environmental Score (環境評価基準) は、製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、 CVSS 環境値 (Environmental Score) を算出します。 これは、お客様自身が脆弱性への対応を決めるために評価する基準です。


関連文書 (Related Document)

(英文)「Evaluate LotusScript Method Returning Unexpected Results」(Technote #1273266)
2008 IBM Corporation. All rights reserved.

Material may not be reproduced or distributed in any form without permission.

掲載内容は 10/25/2007 現在の情報です。内容は事前の予告なく変更することがあります。
Lotus Domino、Lotus NotesはIBMの商標。その他、記載された社名および製品名は、それぞれ各社の商標または登録商標です。

文書情報
 プロダクト・ファミリー
 Domino Server
 プロダクト・カテゴリー
 Workstation/Desktop > Application Development > LotusScript
 オペレーティングシステム
 
 ソフトウェア・バージョン
  Domino Server 8.x; Domino Server 7.x; Domino Server 6.5.x
 文書番号
  731311
 最終更新日
  01/21/2008


     日本IBMについて      プライバシー      お問い合わせ