本文へジャンプ

(参考)Lotus Symphony および Lotus Expeditor の URL ハンドラの脆弱性

この文書は、米国 IBM 社の資料 ("URL handler vulnerability affects Lotus Symphony and Lotus Expeditor") を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。

問題 (Problem)

Lotus Expeditor のコードを利用した Lotus Symphony において、潜在的な脆弱性の問題が報告されました。限定された状況において、ユーザークライアント上で悪意あるコードが実行されてしまう可能性があります。

この問題は下記のサイトで公表されました。
(英文)「[Full-disclosure] Lotus expeditor rcplauncher uri handler vulnerability」

解決策 (Solution)

この問題は、問題報告番号 PRAD7E2LQ4 として Lotus Quality Engineering に報告されています。

影響を受ける製品
Lotus Expeditor 6.1 Client for Desktop

    修正モジュールを入手するには、ロータス・カスタマーサポートまでご連絡ください。
Lotus Symphony(スタンドアロン版)
    現時点では、ベータ版として公開されています。製品版で修正される予定です。


補足情報
この脆弱性の問題は、Windows OS 上で Internet Explorer を使用した場合に発生することがあります。ブラウザに Mozilla Firefox を使用した場合は影響を受けません。

補足情報 (Supporting Information)

本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。

重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS V2 概説」をご参照ください。

Security Rating using Common Vulnerability Scoring System (CVSS) v2
CVSS Base Score: < 9.3 >
Impact Subscore: < 10 >
Exploitability Subscore: < 8.6 >
CVSS Temporal Score: < 7.3 >
CVSS Environmental Score: < Undefined* >
Overall CVSS Score: < 7.3 >
Base Score Metrics:
  • Related exploit range/Attack Vector: < Network >
  • Access Complexity: < Medium >
  • Authentication < None >
  • Confidentiality Impact: < Complete >
  • Integrity Impact: < Complete >
  • Availability Impact: < Complete >
Temporal Score Metrics:
  • Exploitability: < Proof of Concept Code>
  • Remediation Level: < Official Fix >
  • Report Confidence: < Confirmed >
References:
Complete CVSS Guide
共通脆弱性評価システム CVSS V2 概説
脆弱性の深刻度評価の新バージョンCVSS v2への移行について

CVSS Caluculator:
(英語) Online Calculator
(日本語) Online Calculator

* Environmental Score (環境評価基準) は、製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、 CVSS 環境値 (Environmental Score) を算出します。 これは、お客様自身が脆弱性への対応を決めるために評価する基準です。

関連文書 (Related Document)

(英文)「URL handler vulnerability affects Lotus Symphony and Lotus Expeditor」(Technote #1303813)



掲載内容は2008年4月30日現在の情報です。内容は事前の予告なく変更することがあります。
IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International Business Machines Corporation の商標です。
他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。
現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml (US) をご覧ください。


上へ戻る

 
Lotus software

文書情報

プロダクト・ファミリー
All Lotus Products

プロダクト・カテゴリー
Workstation/Desktop > Install/Load/Run > Issues Running Product > Unexpected Behavior

オペレーティングシステム
Windows

ソフトウェア・バージョン
All Lotus Products

文書番号
731776

最終更新日
2008年04月30 日