この文書は、米国 IBM 社の資料 ("Potential stack overflow vulnerability with IBM Lotus Sametime Community Services multiplexer (MUX) ") を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。
問題 (Problem)
Lotus Sametime Community Services multiplexer (MUX) の潜在的なスタックオーバーフローに関する脆弱性の問題が、TippingPoint's Zero Day Initiative より IBM Lotus に報告されました。
アドバイザリー(注意喚起)へは下記のリンクからアクセスできます。
Zero Day Initiative : Advisories
攻撃者がこの脆弱性を利用するためには、下記の手順を踏む必要があります。
- Lotus Sametime サーバーがインストールおよび設定されている
- 攻撃者は HTTP 経由で Lotus Sametime サーバーへの接続を確立することができる
- 攻撃者が Lotus Sametime サーバーへ特殊な HTTP リクエストを送信する
- Lotus Sametime Community Services multiplexer (Mux) が悪意あるリクエストを処理することにより、スタックオーバーフローが引き起こされる
解決策 (Solution)
本件は問題報告番号 RDES7CALDL として Lotus Quality Engineering に報告され、Lotus Sametime 8.0.1 で修正されました。そのほかのリリースでの対応については、下記をご参照ください。
Lotus Sametime 8.0 の場合:
(オプション 1)
Lotus Sametime 8.0.1 へアップグレードしてください。
(オプション 2)
すぐに 8.0.1 にアップグレードすることが難しい場合は、ロータスカスタマーサポートまでご連絡ください。この問題に対する修正モジュールを提供可能です。
Lotus Sametime 7.5.1 の場合:
(オプション 1)
すでに CF1 を適用済みの場合は、Fix Central より修正モジュール(Hotfix)ICAE-7DPP83 を入手してください。
(オプション 2)
Lotus Sametime 7.5.1 Cumulative Fix 1 (CF1) を未適用で、すぐに適用することが難しい場合は、ロータスカスタマーサポートまでご連絡ください。この問題に対する修正モジュールを提供可能です。
Lotus Sametime 7.0 の場合:
ロータスカスタマーサポートまでご連絡ください。この問題に対する修正モジュール ICAE-7DPNVH を提供可能です。
Lotus Sametime 6.5.1 Fix Pack 1 (FP1) の場合:
ロータスカスタマーサポートまでご連絡ください。この問題に対する修正モジュール ICAE-7DPNNW を提供可能です。
補足情報 (Supporting Information)
本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。
重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS V2 概説」をご参照ください。
| Security Rating using Common Vulnerability Scoring System (CVSS) version 2 |
| CVSS Base Score: < 5 > -- Impact Subscore: < 2.9 > -- Exploitability Subscore: < 10 > CVSS Temporal Score: < 3.9 > CVSS Environmental Score: < Undefined* > Overall CVSS Score: < 3.9 > |
Base Score Metrics:
|
Temporal Score Metrics:
|
| References: Complete CVSS Guide 共通脆弱性評価システム CVSS V2 概説 脆弱性の深刻度評価の新バージョンCVSS v2への移行について CVSS Caluculator: (英語) Online Calculator (日本語) Online Calculator |
* Environmental Score (環境評価基準) は、製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、CVSS 環境値 (Environmental Score) を算出します。 これは、お客様自身が脆弱性への対応を決めるために評価する基準です。
関連文書 (Related Document)
掲載内容は2008年5月29日現在の情報です。内容は事前の予告なく変更することがあります。 IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International Business Machines Corporation の商標です。他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml (US) をご覧ください。
文書情報
プロダクト・ファミリー
Lotus Instant Messaging and Web Conferencing, Sametime Server
プロダクト・カテゴリー
Companion Products > Sametime > General Information
オペレーティングシステム
ソフトウェア・バージョン
6.5.1; Sametime Server 8.0.1; Sametime Server 8.0; Sametime Server 7.5.1; Sametime Server 7.5; Sametime Server 7.0
文書番号
731821
最終更新日
2008年05月29 日