公開日:2003/03/27 最終更新日:2003/03/27

JVNCA-2003-11
Lotus Notes と Domino に複数の脆弱性

概要

Lotus Notes クライアントと Domino サーバにおいて、バッファーオーバーフローを含む複数の脆弱性が確認されています。
最も深刻な脆弱性については、遠隔から任意のコードを実行される可能性があります。

影響を受けるシステム

  • Lotus Notes と Domino

詳細情報

想定される影響

遠隔から第三者が任意のコードを実行したり、サービス運用妨害 (denial-of-service, DoS) 攻撃を行なう可能性があります。

対策方法

ベンダ情報

ベンダ リンク
富士通 CA-2003-11に対する富士通の情報
富士通 CA-2003-11に対するSolaris OEの情報
日本IBM Lotus Domino Web Server iNotes のバッファオーバーフロー: NGSS の報告
日本IBM Lotus Domino DoS 攻撃: NGSS の報告
日本IBM Lotus iNotes Web Access バッファーオーバーラン: NGSS の報告
日本IBM Lotus Domino Web Server Host/Location バッファーオーバフローの脆弱性: NGSS の報告
日本IBM Lotus iNotes Client の ActiveX コントロールのバッファオーバーラン: NGSS の報告
日本IBM Domino サーバーへの Notes 認証時にバッファオーバーフローが発生する
日本IBM Web Retriever のバッファオーバーフローが Denial of Service (DoS) を引き起こす可能性がある
日本IBM Fixed a potential Denial of Service attack (LDAP) resulting in arbitrary execution of code under certain circumstances.

参考情報

  1. CERT Vulnerability Note VU#206361
    Lotus iNotes vulnerable to buffer overflow via PresetFields FolderName field
  2. CERT Vulnerability Note VU#355169
    Lotus Domino Web Server vulnerable to denial of service via incomplete POST request
  3. CERT Vulnerability Note VU#542873
    Lotus iNotes vulnerable to buffer overflow via PresetFields s_ViewName field
  4. CERT Vulnerability Note VU#772817
    Lotus Domino Web Server vulnerable to buffer overflow via non-existent "h_SetReturnURL" parameter with an overly long "Host Header" field
  5. CERT Vulnerability Note VU#571297
    Lotus Notes and Domino COM Object Control Handler contains buffer overflow
  6. CERT Vulnerability Note VU#433489
    Lotus Domino Server suceptable to a pre-authenication buffer overflow during Notes authentication
  7. CERT Vulnerability Note VU#411489
    Lotus Domino Web Retriever contains a buffer overflow vulnerability
  8. CERT Vulnerability Note VU#583184
    Lotus Domino R5 Server Family contains multiple vulnerabilities in LDAP handling code
  9. CIAC Bulletin N-065
    Multiple Vulnerabilities in Lotus Notes and Domino
  10. ISS X-Force Database: domino-ldap-protos-bo (6895)
    Lotus Domino LDAP buffer overflows found using PROTOS LDAPv3 test suite
  11. V-STAF: lotus-web-retriever-bo (11525)
    Lotus DominoとNotes ClientにおけるWeb Retrieverのバッファオーバフロー
  12. V-STAF: lotus-nrpc-bo (11526)
    Lotus Domino と Notes Client の Notes プロトコル (NRPC) によるバッファオーバフロー
  13. V-STAF: lotus-domino-inotes-bo (11336)
    xxx
  14. V-STAF: lotus-domino-hostname-bo (11337)
    Lotus Domino の Host: ヘッダリダイレクトによるバッファオーバフロー
  15. V-STAF: lotus-notes-activex-bo (11339)
    Lotus Notes クライアントの iNotes ActiveX のバッファオーバフロー
  16. V-STAF: lotus-incomplete-post-dos (11360)
    Lotus Domino 不完全な HTTP POST によるサービス妨害
  17. V-STAF: lotus-invalid-field-dos (11361)
    Lotus Domino 脆弱のある HTTP POST フィールドによるサービス妨害
  18. LAC
    CERT Advisory CA-2003-11 Multiple Vulnerabilities in Lotus Notes and Domino [翻訳版]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2003-1301
JPCERT/CC REPORT 2003-04-02
CERT Advisory CERT Advisory CA-2003-11
Multiple Vulnerabilities in Lotus Notes and Domino
CPNI Advisory
TRnotes
CVE CAN-2001-1311
VU#583184,XF6895
JVN iPedia