IBM Support

(参考) IBM Domino:GIF による整数切捨て・リモートコード実行に関する脆弱性 (CVE-2015-0135)

Security Bulletin


Summary

IBM Domino において、GIF ファイルの処理におけるリモートコード実行に関する脆弱性の問題が報告されました。リモート攻撃者がこの脆弱性を利用すると、任意のコードを実行させたりサーバーをクラッシュさせることができる可能性があります。この問題に対する修正をダウンロードすることができます。また、この修正は今後リリースされる Interim Fix、Fix Pack やメンテナンスリリースにも含まれます。

Vulnerability Details


CVEID: CVE-2015-0135

説明: IBM Domino において、GIF ファイルの処理におけるリモートコード実行に関する脆弱性の問題が報告されました。リモート攻撃者がこの脆弱性を利用すると、任意のコードを実行させたりサーバーをクラッシュさせることができる可能性があります。

CVSS Base Score: 10
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (AV:N/AC:L/Au:N/C:C/I:C/A:C)

Affected Products and Versions

下記のリリースに影響します。

  • IBM Domino 9.0.1 Fix Pack 3 (プラス Interim Fixes) 以前のリリース
  • IBM Domino 8.5.3 Fix Pack 6 (プラス Interim Fixes) 以前のリリース
  • 上述のリリース以前のすべての IBM Domino 9.0.x および 8.5.x リリース

Remediation/Fixes

この問題は、問題報告番号 KLYH9T7NT9 として報告され、以下のリリースで修正されました。

IBM Domino 9.0.1 Fix Pack 3 Interim Fix 2
ダウンロードリンクについては、以下の文書を参照してください。
(英文)「Interim Fixes for 9.0.1 IBM Notes, IBM Domino & IBM iNotes」(Technote #1657963)

IBM Domino 8.5.3 Fix Pack 6 Interim Fix 4
ダウンロードリンクについては、以下の文書を参照してください。
(英文)「Interim Fixes for 8.5.3 Fix Pack 6 IBM Notes, IBM Domino & IBM iNotes」(Technote #1663874)

これより前の 9.0.x / 8.5.x リリースをご利用で、有効なソフトウェア・サブスクリプション&サポートをお持ちの場合には、IBM サポートまでお問い合わせ下さい。この問題に対する Hotfix の提供を検討することができます。

Workarounds and Mitigations

メールの検閲・保護ソフトウェアを使用している場合、それらのツールで問題の発生する添付ファイルを取り除くように構成できることができる可能性があります。

Get Notified about Future Security Bulletins

References

Complete CVSS v2 Guide
On-line Calculator v2

Related information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog
本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。


重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS 概説」をご参照ください。

CVSS リファレンス:
共通脆弱性評価システム CVSS 概説
脆弱性の深刻度評価の新バージョン CVSS v2 について

CVSS Caluculator:
(日本語) Online Calculator

原文:
(英文)「Security Bulletin: IBM Domino GIF Integer Truncation Remote Code Execution Vulnerability (CVE-2015-0135)」(Technote #1701647)

この文書は、米国 IBM 社の資料を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連情報のリンクよりご参照ください。


*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

According to the Forum of Incident Response and Security Teams (FIRST), the Common Vulnerability Scoring System (CVSS) is an "industry open standard designed to convey vulnerability severity and help to determine urgency and priority of response." IBM PROVIDES THE CVSS SCORES "AS IS" WITHOUT WARRANTY OF ANY KIND, INCLUDING THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. CUSTOMERS ARE RESPONSIBLE FOR ASSESSING THE IMPACT OF ANY ACTUAL OR POTENTIAL SECURITY VULNERABILITY.

Document information

More support for: IBM Domino
Security

Software version: 8.5, 8.5.1, 8.5.2, 8.5.3, 9.0, 9.0.1

Operating system(s): AIX, IBM i, Linux, Solaris, Windows

Reference #: 1883904

Modified date: 08 May 2015


Translate this page: