公開日:2014/04/23 最終更新日:2014/04/23

JVNVU#98935174
IBM Notes および IBM Domino に問題

概要

32bit 版 Linux で動作する IBM Notes および IBM Domino は、実行不可属性によるメモリ領域の保護が行われていません。

影響を受けるシステム

32bit 版 Linux で動作する次の製品が本脆弱性の影響を受けます。

  • IBM Notes 9.0.1 およびそれ以前
  • IBM Domino 9.0.1 Interim Fix 2 およびそれ以前
  • IBM Notes 8.5.x
  • IBM Domino 8.5.x

詳細情報

32bit 版 Linux で動作する IBM Notes および IBM Domino は、gcc のオプションに -z execstack を指定してコンパイルされています。そのため、これらの製品では実行不可属性による stack、heap、data セクションなどのメモリ領域の保護が行われていません。この設定は添付ファイルのプレビューを生成したり、全文検索用のインデックスを生成したりする子プロセスにも引き継がれます。

想定される影響

脆弱性が存在した場合、攻撃されやすくなります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

  • execstack ユーティリティを使用して ELF ヘッダを変更することで、実行不可属性の無効化を解除する

ベンダ情報

ベンダ リンク
IBM Download Options for Notes & Domino 9.0.1 Fix Packs
Security Bulletin: IBM Notes & Domino fixes for multiple vulnerabilities (CVE-2014-0892 and Oracle Java Critical Patch Updates for Oct 2013, Jan 2014)

参考情報

  1. CERT/CC Vulnerability Note VU#350089
    IBM Notes and Domino on x86 Linux specify an executable stack
  2. CERT/CC BLOG
    Feeling Insecure? Blame Your Parent!

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2014-0892
JVN iPedia