この文書は、米国 IBM 社の資料 ("Response to 'IBM Lotus Notes 8.5 RSS Widget Privilege Escalation'") を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。
問題 (Problem)
Lotus Notes 8.x Standard 版には、RSS フィードリーダーが組み込まれており、Web サイトから RSS 更新情報を受信できます。この機能について、特定の状況において発生する潜在的なクロスサイトスクリプティング (XSS) の脆弱性が報告されました。
攻撃者がこの脆弱性を利用するためには、下記の条件を満たす必要があります。
- 攻撃者が、悪意のある RSS を有効にした Web サイトを作成する。
- ユーザーは Lotus Notes 8.x Standard 版を使用している (注: RSS 機能は Basic 版の Lotus Notes 8.x では使用できません)。
- ユーザーが誘導され、悪意のある RSS が有効な Web サイトを自ら登録する。
ユーザーがポップアップウインドウに表示される新しいコンテンツをプレビューすることで、脆弱性の問題が発生する可能性があります。
関連するアドバイザリー (注意喚起) へは下記のリンクからアクセスできます。
[scip_Advisory 4021] IBM Lotus Notes 8.5 RSS Widget Privilege Escalation
解決策 (Solution)
本件は、問題報告番号 RGAU7RDJ9K として Lotus Quality Engineering に報告され、Lotus Notes 8.5.1 および 8.0.2 Fix Pack 3 (FP3) で修正されました。
Lotus Notes 8.5 での回避策
(オプション 1)
Lotus Notes クライアントのプリファレンス設定でポップアップウインドウの表示を無効にする。
[ファイル] - [プリファレンス] メニューを選択し、設定ウインドウにおいて、フィードにある「フィードのプリビューに関するポップアップウインドウの表示」のチェックを外します。
この設定は、デスクトップポリシーから一括して変更することも可能です。
デスクトップ設定文書の [カスタム設定] - [管理設定] タブに、以下のリストを追加します。
アイテム:ui.prefpage.display.previewwindow
値:false
プラグイン名:com.ibm.rcp.feedreader.providers
(オプション 2)
ブラウザのセキュリティ設定において、「ローカルインターネット」ゾーンをレベルを「高」に変更する。
Lotus Notes 8.0.x での回避策
ブラウザのセキュリティ設定において、「ローカルインターネット」ゾーンをレベルを「高」に変更する
補足情報 (Supporting Information)
本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。
重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS V2 概説」をご参照ください。
| Security Rating using Common Vulnerability Scoring System (CVSS) version 2 |
| CVSS Base Score: < 4.3 > -- Impact Subscore: < 2.9 > -- Exploitability Subscore: < 8.6 > CVSS Temporal Score: < 3.4 > CVSS Environmental Score: < Undefined* > Overall CVSS Score: < 3.4 > |
| Base Score Metrics: ・ Related exploit range/Attack Vector: < Network > ・ Access Complexity: < Medium > ・ Authentication < None > ・ Confidentiality Impact: < None > ・ Integrity Impact: < Partial > ・ Availability Impact: < None > |
| Temporal Score Metrics: ・ Exploitability: < Proof of Concept Code > ・ Remediation Level: < Official Fix > ・ Report Confidence: < Confirmed > |
| References: Complete CVSS Guide 共通脆弱性評価システム CVSS V2 概説 脆弱性の深刻度評価の新バージョンCVSS v2への移行について CVSS Caluculator: (英語) Online Calculator (日本語) Online Calculator |
* Environmental Score (環境評価基準) は、製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、CVSS 環境値 (Environmental Score) を算出します。これは、お客様自身が脆弱性への対応を決めるために評価する基準です。
関連文書 (Related Document)
(英文)「Response to 'IBM Lotus Notes 8.5 RSS Widget Privilege Escalation'」(Technote #1403834)
--- 更新履歴 ---
2009/09/25 初公開
2009/10/05 8.0.2 FP3 の修正予定を追加 & HF に関する記載を削除
2009/11/16 8.5.1 & 8.0.2 FP3 での修正を記載
掲載内容は2009年11月16日現在の情報です。内容は事前の予告なく変更することがあります。 IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International Business Machines Corporation の商標です。他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml (US) をご覧ください。
文書情報
プロダクト・ファミリー
Notes
プロダクト・カテゴリー
Workstation/Desktop > Side Bar
オペレーティングシステム
Windows; Linux; Macintosh
ソフトウェア・バージョン
Notes Client 8.5.x (Standard); Notes Client 8.0.x (Standard)
文書番号
733202
最終更新日
2009年11月16 日