IBM Lotus サポート - Japan
IBM®
本文へジャンプ
    Japan 変更      ご利用条件
 
 
   
     ホーム      製品      サービス & ソリューション      サポート & ダウンロード      マイアカウント     

Lotus  >  サポート  >  サポート技術情報  >

(参考)Java プラグインの脆弱性による Lotus Notes クライアントへの影響について

この文書は、米国 IBM 社の資料 ("Possible Notes Client Java Plug-in Vulnerability") を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。

問題 (Problem)

Lotus Notes が Java プラグインの脆弱性により影響を受けるという問題が、David Gloed 氏より IBM Lotus に報告されました。これは Jouko Pynnonen 氏のアドバイザリー(注意喚起)にて文書化された問題に関連します。この Java 脆弱性の問題は、Java アプレットの中の JavaScript の実行に関連し、権限昇格が引き起こされるという問題です。

攻撃者がこの脆弱性を利用するためには、下記の手順を踏む必要があります。

  1. Lotus Notes クライアントはユーザープリファレンスで「JavaScript から Java へのアクセスを有効にする」を有効にしていること。
  2. 攻撃者は、JavaScript を使用した Java アプレットを作成する。その JavaScript では、攻撃者のアクセス権限を昇格させる Java コードを実行するようにする。
  3. 攻撃者はメールに Java アプレットを添付し、ユーザーに送信する。
  4. ユーザーがメッセージを開く。


Jouko Pynnonen 氏のオリジナルのアドバイザリー (注意喚起) へは下記のリンクからアクセスできます。
Sun Java Plugin arbitrary package access vulnerability

関連する Sun のアドバイザリー (注意喚起) へは下記のリンクからアクセスできます。
Security Vulnerability With Java Plug-in in JRE/SDK

解決策 (Solution)

Sun Alert #57591/10152 で報告された脆弱性に対する修正は、Lotus Notes 7.0.2 に組み込まれています。Lotus Notes 8.0 はこの脆弱性の影響を受けません。

それより前のリリースに関しては、ユーザープリファレンスで「JavaScript から Java へのアクセスを有効にする」を無効にすることを推奨します。

すべてのユーザーのプリファレンスを管理する方法
管理者はデスクトップポリシーを使用することにより、ユーザープリファレンスの設定を中央管理することができます。

  1. Domino ディレクトリを開き、[ポリシー] - [設定] を選択します。
  2. デスクトップポリシーを開き、[プリファレンス] タブを選択します。
  3. [その他] タブを選択します。
  4. 「JavaScript から Java アクセス」のチェックを外します。
デスクトップポリシーの詳細については、Lotus Domino Administrator ヘルプをご参照ください。

ユーザーごとにプリファレンスを変更する方法
  1. メニューから [ファイル] - [プリファレンス] - [ユーザー] を実行します。
  2. [基本] パネルを開きます。
  3. 「追加のオプション」より「JavaScript から Java へのアクセスを有効にする」のチェックを外します。


補足情報 (Supporting Information)

本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。

重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS V2 概説」をご参照ください。

Security Rating using Common Vulnerability Scoring System (CVSS) v2
CVSS Base Score: < 5.8 >
Impact Subscore: < 4.9 >
Exploitability Subscore: < 8.6 >
CVSS Temporal Score: < 4.5 >
CVSS Environmental Score: < Undefined* >
Overall CVSS Score: < 4.5 >
Base Score Metrics:
  • Related exploit range/Attack Vector: < Network >
  • Access Complexity: < Medium >
  • Authentication < None >
  • Confidentiality Impact: < None >
  • Integrity Impact: < Partial >
  • Availability Impact: < Partial >
Temporal Score Metrics:
  • Exploitability: < Proof of Concept Code>
  • Remediation Level: < Official Fix >
  • Report Confidence: < Confirmed >
References:
Complete CVSS Guide
共通脆弱性評価システム CVSS V2 概説
脆弱性の深刻度評価の新バージョンCVSS v2への移行について

CVSS Caluculator:
(英語) Online Calculator
(日本語) Online Calculator

* Environmental Score(環境評価基準)は、製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、CVSS 環境値 (Environmental Score) を算出します。これは、お客様自身が脆弱性への対応を決めるために評価する基準です。



関連文書 (Related Document)

(英文)「Possible Notes Client Java Plug-in Vulnerability」(Technote #1257249)
2008 IBM Corporation. All rights reserved.

Material may not be reproduced or distributed in any form without permission.

掲載内容は 02/20/2008 現在の情報です。内容は事前の予告なく変更することがあります。
Lotus Domino、Lotus NotesはIBMの商標。その他、記載された社名および製品名は、それぞれ各社の商標または登録商標です。

文書情報
 プロダクト・ファミリー
 Notes
 プロダクト・カテゴリー
 Workstation/Desktop > Notes Client Functionality > Security
 オペレーティングシステム
  Windows
 ソフトウェア・バージョン
  Notes Client 7.x; Notes Client 6.x
 文書番号
  731554
 最終更新日
  02/20/2008


     日本IBMについて      プライバシー      お問い合わせ