米国時間5月27日、ウクライナのセキュリティ研究者であるMustLive氏(ハンドル名)が、「IBM Domino(旧称IBM Lotus Domino)」に数年前から存在する、クロスサイトスクリプティング(XSS)の脆弱性に関する情報を公表した。
この脆弱性は、IBM Domino内で不充分な認証しか行われないセキュリティホールと、ブルートフォースアタックを通じて悪用される。攻撃者は脆弱性を悪用してウェブサーバの設定情報を入手し、さらに高度な攻撃を行うか、クライアントサイドのスクリプトをウェブページに挿入することが可能になる。
MustLive氏は2012年からの3年間に、今回公表されたものを含む複数の脆弱性をIBM Domino内に発見してきた。同氏はこれまでに5件のアドバイザリをIBMに提供してきたが、長らく同社からの回答は得られなかったという。その後、ようやくIBMから届いた回答は、報告されたXSSの脆弱性を修正する予定はないという主旨のものだったため、同氏は脆弱性に関する情報の公表を決断したと述べている。
IBM Dominoは、ソーシャルビジネスアプリケーションのホスティングに利用されるエンタープライズプラットフォーム。MustLive氏の報告によると、今回公表された脆弱性はバージョン8.5.3と8.5.4、およびそれ以前のバージョンに影響を与える。また同氏によると、前述したようにIBMは数年前から脆弱性の修正に消極的だったため、バージョン9.0と9.0.1も影響を受ける可能性が高いという。
米ZDNetはこの件についてIBMにコメントを求めているが、本記事の執筆時点で回答は得られていない。
提供:Symantec
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。