まとめ
- 対象は9.0.1FP8までのバージョン(OS問わず)
- IMAPサービスを無効にすることで暫定対応可能
- Feature Pack(Fix Pack)はこちら
はじめに
Shadow Brokersが新たに公開した情報に、この脆弱性の情報が入っていたとのこと。詳細はJVNVU#91685026 IBM Lotus Domino の IMAP サーバにスタックベースのバッファオーバーフローの脆弱性に記載があります。
(2017/04/24追記)
技術文書の日本語版が公開されました。また、Feature Pack(Fix Pack)も公開されたようです。
(2017/04/21追記)
IBMよりこの脆弱性に関する記事が公開されました。9.0.1 FP8 IF2および8.5.3 FP6 IF17で対処可能のようです。
また、この記事内に以下のようにあるため、IMAPサービスを無効にすることでも、一時的な対処は可能のようです。
IBM recommends all clients apply the fix. However, clients may disable IMAP services as a temporary fix.
概要
- 対象バージョンは9.0.1FP8までのバージョン
- 9.0.1FP8が最新Feature Packのため、(2017/04/20時点では)全てのバージョンが対象
-
Windows版Dominoのみならず、他プラットフォームのDominoも対象
- Shadow Brokersの公開情報がWindowsの脆弱性に関するものであることから、勘違いしやすいため注意
- JVNVU#91685026の詳細にも以下記載あり
Linux など他のプラットフォームで動作する Domino に対しても、この脆弱性を使用した攻撃が可能
修正バージョンは9.0.1 FP8 IF2 および 8.5.3 FP6 IF17
-
ワークアラウンドは次の通り
- IMAPを無効にする
- (Windowsのみ)「Enhanced Mitigation Experience Toolkit(EMET)を適用する」
Feature Pack(Fix Pack)
各プラットフォームのFeature Packが一覧表示されるので、対象のプラットフォームのものを導入。
確認しておきたいポイント
-
IMAPサービスが稼動しているかどうか
- sh ta などですぐ確認できるため、念のため確認しておく(意図して設定するサービスのため、管理者が認知していないケースは少ないと考えられる)
- IMAPサービスを無効にすることが一時的なワークアラウンドのため、意図せず有効となっている場合は無効にする
ユーザが指定した長大なメールボックス名を処理することで、スタックベースのバッファオーバーフローが発生します。IMAP コマンドを受け付けるのはユーザ認証完了後であるため、本脆弱性を使用した攻撃が可能なのは、当該製品にログインしたユーザのみであると考えられます。
引用元:JVNVU#91685026 IBM Lotus Domino の IMAP サーバにスタックベースのバッファオーバーフローの脆弱性
メモ
-
IMAP(Internet Message Access Protocol):メールサーバ上のメールを管理するプロトコル。サーバー上でメールの管理を実施
- メール管理プロトコルは他にもPOPがある。POPははサーバーからメールを取得した後、サーバー上にメールが残らない(ローカルで管理)
- 最近のモバイルでのメールの利用はこちらのプロトコルが主流か
-
ASLR(Address Space Layout Randomization):アドレス空間配置のランダム化するセキュリティ技術。
- DominoのIMAPの特定ライブラリがこれに対応していないため、バッファオーバーフローの脆弱性を突かれている模様