IBM Support

(参考) IBM Domino の TLS ディフィー・ヘルマン鍵認証の脆弱性 (CVE-2016-6087)

Security Bulletin


Summary

IBM Domino の TLS の ディフィー・ヘルマン鍵認証には、接続の安全性が低下する脆弱性があります。
攻撃者はこの脆弱性を悪用し、ユーザー認証資格情報を取得する可能性があります。

Vulnerability Details

CVEID: CVE-2016-6087
説明:
攻撃者は、複数のセッションと大量のデータを使って IBM Domino の TLS 鍵認証を使用し、資格情報を盗み出す可能性があります。
CVSS Base Score: 5.9
CVSS Temporal Score: 現時点のスコアについては ISS X-Force Database を参照してください。
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)

Affected Products and Versions

IBM Domino 9.0.1 および 9.0.1 Fix Pack 7 Interim Fix 2 までのリリース

IBM Domino 9.0および 9.0 Interim Fix 7 までのリリース
IBM Domino 8.5.3 および 8.5.3 Fix Pack 6 Interim Fix 17 までのリリース
IBM Domino 8.5.2 および 8.5.2 Fix Pack 4 までのリリース
IBM Domino 8.5.1 および 8.5.1 Fix Pack 5 までのリリース

Remediation/Fixes

この問題は、問題報告番号 DKEN9WGMYE として IBM Quality Engineering に報告され、IBM Domino 9.0.1 Feature Pack 8 で修正されました。

製品名 バージョン 修正
IBM Domino 9.0.1 FP8 http://www.ibm.com/support/docview.wss?uid=swg24037141


以下のIBM Domino のリリースをご利用で、有効なソフトウェア・サブスクリプション&サポートをお持ちの場合には、ロータスカスタマーサポートまでお問い合わせ下さい。最新のメンテナンスリリースをご利用の場合には、 IBM Notes/Domino 障害修正プログラム提供のポリシーに基づき、この問題に対する Hotfix の提供を検討することができます。

  • IBM Domino 9.0.1 および 9.0.1 Fix Pack 7 Interim Fix 2 までのリリース
  • IBM Domino 9.0 および 9.0 Interim Fix 7

Domino 8.5.x への対応について

Q1. Domino 8.5.x用の Hotfix の作成予定はありますか?
Domino 9.0 以前のリリースでは、暗号インフラストラクチャーと、この修正に必要な新しい暗号ライブラリーが欠けているため、IBM はこの脆弱性に対する 8.5.x 用の修正を提供できません。

Q2. Domino 8.5.x 環境でこの脆弱性を防ぐ方法はありますか?
回避策は、Web トラフィックを処理している Domino サーバーの前に、プロキシーサーバーを配置する事が考えられます。


Workarounds and Mitigations

Web トラフィックを処理している Domino サーバーの前に、プロキシーサーバーを配置する事が考えられます。

Get Notified about Future Security Bulletins

References

Complete CVSS v3 Guide
On-line Calculator v3

Related information

IBM Secure Engineering Web Portal
IBM Product Security Incident Response Blog
本事象はセキュリティ問題に該当しているため、問題の再現手順など詳細に関するお問い合わせについて、ここに掲載された以上の情報提供を行っておりません。セキュリティ保全の観点による措置のため、あらかじめご了承いただきますようお願いします。


重要度、発生頻度など当事象を評価する情報については、以下の CVSS 評価値を利用ください。CVSS の評価値の読み方については、「共通脆弱性評価システム CVSS 概説」をご参照ください。

原文:
(英文)「Security Bulletin: IBM Domino TLS server Diffie-Hellman key validation vulnerability (CVE-2016-6087)」(Technote # 2002808)

この文書は、米国 IBM 社の資料を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連情報のリンクよりご参照ください。


*The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Security Bulletin.

Disclaimer

According to the Forum of Incident Response and Security Teams (FIRST), the Common Vulnerability Scoring System (CVSS) is an "industry open standard designed to convey vulnerability severity and help to determine urgency and priority of response." IBM PROVIDES THE CVSS SCORES "AS IS" WITHOUT WARRANTY OF ANY KIND, INCLUDING THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. CUSTOMERS ARE RESPONSIBLE FOR ASSESSING THE IMPACT OF ANY ACTUAL OR POTENTIAL SECURITY VULNERABILITY.

Document information

More support for: IBM Domino
Security

Software version: 8.5.1, 8.5.2, 8.5.3, 9.0, 9.0.1

Operating system(s): Platform Independent

Software edition: All Editions

Reference #: 2004510

Modified date: 09 June 2017


Translate this page: