IBM Support

(参考) セキュリティ情報:IBM Domino Web Administrator の代わりに IBM Domino Administrator クライアントを使用することによる、より安全な IBM Domino サーバーの管理

Technote(トラブルシューティング)


問題

IBM Domino Web Administrator (webadmin.nsf) に対して、クロスサイトスクリプティングに関する複数の CVSS スコアの低い脆弱性の問題が報告されました。これらの問題は IBM Domino Administrator クライアントには存在しません。これらの攻撃を防ぐためには、IBM Domino Web Administrator の代わりに IBM Domino Administrator クライアントを利用するようにしてください。もしくは、以下に記載の軽減策をご検討ください。

IBM Domino Web Administrator は今後、廃止される予定のため、これに対して新機能が追加されることはなく、報告された問題に対応することはありません。完全な管理機能が利用可能な IBM Domino Administrator クライアントのご利用を強く推奨します。


解決方法

問題の詳細: IBM Domino Web Administrator のクロスサイトスクリプティングに関する脆弱性の問題

CVE ID: CVE-2013-4051, CVE-2013-4055

説明:
認証された攻撃者が IBM Domino Web Administrator の脆弱性を利用し、クロスサイトスクリプティング攻撃を実行する可能性があるという問題です。

CVSS:
CVE ID: CVE-2013-4051
CVSS Base Score: 3.5
CVSS Temporal Score: 現在のスコアについては、ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/AU:S/C:N/I:P/A:N)

CVE ID: CVE-2013-4055
CVSS Base Score: 3.5
CVSS Temporal Score: 現在のスコアについては、ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/AU:S/C:N/I:P/A:N)


問題の詳細: IBM Domino Web Administrator のクロスサイトリクエストフォージェリに関する脆弱性の問題

CVE ID: CVE-2013-4050

説明:
認証された攻撃者が IBM Domino Web Administrator の脆弱性を利用し、クロスサイトリクエストフォージェリ攻撃を実行する可能性があるという問題です。

CVSS:
CVE ID: CVE-2013-4050
CVSS Base Score: 3.5
CVSS Temporal Score: 現在のスコアについては、ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:M/AU:S/C:N/I:P/A:N)


影響を受けるリリース:
IBM Domino Web Administrator 8.5.x, 9.0.x


修正:
修正の予定はありません。IBM Domino Web Administrator は今後、廃止される予定です。完全な管理機能が利用可能な IBM Domino Administrator クライアントのご利用を強く推奨します。


回避策:
IBM Domino Administrator クライアントをご利用いただくことにより、より安全に IBM Domino サーバーを管理することができます。


軽減策:
IBM Domino Web Administrator クライアントを Domino 管理タスクのみに利用し、そのセッションで他の Web サイトにアクセスしたり、他の Web アプリケーション(たとえば、email の参照)で利用しないでください。




関連情報:
本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。

重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「 共通脆弱性評価システム CVSS 概説」をご参照ください。

CVSS リファレンス:
共通脆弱性評価システム CVSS 概説
脆弱性の深刻度評価の新バージョン CVSS v2 について

CVSS Caluculator:
(英語) Online Calculator
(日本語) Online Calculator

その他:
(英文) IBM Secure Engineering Web Portal
(英文) IBM Product Security Incident Response Blog

原文:
(英文)「Security Bulletin: For safer administration of IBM Domino server, use Domino Administrator client instead of Domino Web Administrator」(Technote #1652988)

この文書は、米国 IBM 社の資料を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連情報のリンクよりご参照ください。


* Environmental Score(環境評価基準)は、製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準で評価し、CVSS 環境値 (Environmental Score) を算出します。これは、お客様自身が脆弱性への対応を決めるために評価する基準です。

注:Forum of Incident Response and Security Teams (FIRST) によると、Common Vulnerability Scoring System (CVSS) とは情報システムの脆弱性に対するオープンで汎用的な評価手法で、問題の緊急度や優先度を判断するための補助になるものです。IBM では CVSS スコアを "AS IS" (現状のまま) として提供し、いかなる種類の保障も提供しません。これには市場における暗黙の保障および特定の目的に対する適合性を含みます。実際のもしくは潜在的なセキュリティ脆弱性のインパクトの評価については、お客様が責任を持ちます。

Document information

More support for: IBM Domino
Security

Software version: 8.5, 9.0

Operating system(s): AIX, IBM i, Linux, Solaris, Windows

Reference #: 1655507

Modified date: 19 November 2013