JVNDB-2014-002194

IBM Notes および IBM Domino に問題

32bit 版 Linux で動作する IBM Notes および IBM Domino は、実行不可属性によるメモリ領域の保護が行われていません。

32bit 版 Linux で動作する IBM Notes および IBM Domino は、gcc のオプションに -z execstack を指定してコンパイルされています。そのため、これらの製品では実行不可属性による stack、heap、data セクションなどのメモリ領域の保護が行われていません。この設定は添付ファイルのプレビューを生成したり、全文検索用のインデックスを生成したりする子プロセスにも引き継がれます。

32bit 版 Linux で動作する次の製品が本脆弱性の影響を受けます。

IBM

• IBM Domino (旧 IBM Lotus Domino) 9.0.1 Interim Fix 2 およびそれ以前
• IBM Domino (旧 IBM Lotus Domino) 8.5.x
• IBM Notes 9.0.1 およびそれ以前
• IBM Notes 8.5.x

脆弱性が存在した場合、攻撃されやすくなります。

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。

[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

　・ execstack ユーティリティを使用して ELF ヘッダを変更することで、実行不可属性の無効化を解除する

　execstack
　http://linux.die.net/man/8/execstack

IBM

• IBM Support Document : Download Options for Notes & Domino 9.0.1 Fix Packs
• IBM Support Document : Security Bulletin: IBM Notes & Domino fixes for multiple vulnerabilities (CVE-2014-0892 and Oracle Java Critical Patch Updates for Oct 2013, Jan 2014)
• IBM セキュリティー情報 : (参考) IBM Notes/Domino における複数の脆弱性の問題の修正 (CVE-2014-0892 および 2013 年 10 月と 2014 年 1 月の Oracle Java Critical Patch Update)

1. 情報漏えい(CWE-200) [NVD評価]

1. CVE-2014-0892

1. JVN : JVNVU#98935174
2. National Vulnerability Database (NVD) : CVE-2014-0892
3. US-CERT Vulnerability Note : VU#350089
4. 関連文書 : Feeling Insecure? Blame Your Parent!

• [2014年04月23日]
    掲載
  [2014年04月30日]
    CWE による脆弱性タイプ一覧：CWE-ID を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2014-0892) を追加
  [2014年06月26日]
    ベンダ情報：IBM ((参考) IBM Notes/Domino における複数の脆弱性の問題の修正 (CVE-2014-0892 および 2013 年 10 月と 2014 年 1 月の Oracle Java Critical Patch Update)) を追加