IBM Support

(参考) IBM Domino における SSL 3.0 の脆弱性の影響について

技術情報(FAQs)


質問

IBM Domino サーバーは POODLE と呼ばれる SSL 3.0 の脆弱性の影響を受けますか。

回答

SSL 3.0 (SSLv3) には、プロトコル設計自体に通称 POODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれる脆弱性が存在することが報告されています。
IBM Domino サーバーで HTTP タスクをロードし、Web ブラウザから SSLv3 を利用してアクセスすると、悪意のあるユーザーによる中間者攻撃 (man-in-the-middle attack) により、暗号化されたデータの内容が盗聴される危険性があります。

Web ブラウザ側で SSLv3 を無効化してしまうと、従来の IBM Domino サーバーでは SSLv3 だけがサポートされているため、SSL で接続することができなくなります。

IBM は TLS 1.0 with TLS_FALLBACK_SCSV for HTTP を実装し POODLE 脆弱性に対応するため、以下のリリースの IBM Domino サーバー用に Interim Fix (IF) をリリースしました。IF は以下のリンク先文書からダウンロード可能です。


また、 IBM Domino 9.0.1 Fix Pack 3 (FP3) でも問題が修正されています。
Interim Fix を適用した環境に FP3 を適用する場合は、一度 IF をアンインストールしたあと、FP3 を適用してください。

なお、詳細は以下の wiki ページでも公開されています。
(英文)「IBM Domino Interim Fixes to support TLS 1.0 which can be used to prevent the POODLE attack」

8.5.x や 9.x の上記以外のバージョンについては、Hotfix の提供を検討することができます。Hotfix が必要な場合は、 サービス・リクエスト (SR) などから IBM サポートまでお問い合わせください。


補足情報
IBM Domino サーバーは、どのバージョンでも、この問題を回避するために IBM HTTP Server (IHS) などの Web サーバーを IBM Domino サーバーのフロントエンドに利用することができます。また、Windows 版 IBM Domino 9.x では、TLS をサポートしている IHS が同梱されており、同じマシン上で動作させることもできます。
詳細な情報は、次の文書を参照してください。
(英文)「Is it possible to run IBM HTTP Server (IHS) on the same computer as a Domino server?」(Technote# 1612316)


関連文書
原文:
(英文)「How is IBM Domino impacted by the POODLE attack?」(Technote #1687167)

この文書は、米国 IBM 社の資料を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連文書のリンクよりご参照ください。


更新履歴
2014/10/23 初公開
2014/11/05 IF のリリースを追記
2015/01/28 9.0.1 FP3 の記述を追記



IBM’s statements regarding its plans, directions, and intent are subject to change or withdrawal without notice at IBM’s sole discretion. Information regarding potential future products is intended to outline our general product direction and it should not be relied on in making a purchasing decision. The information mentioned regarding potential future products is not a commitment, promise, or legal obligation to deliver any material, code or functionality. Information about potential future products may not be incorporated into any contract. The development, release, and timing of any future features or functionality described for our products remains at our sole discretion.

Document information

More support for: IBM Domino
Security

Software version: 8.5, 9.0

Operating system(s): AIX, IBM i, Linux, Solaris, Windows

Reference #: 1687802

Modified date: 27 January 2015


Translate this page: