製品・ソフトウェアに関する情報

JVN脆弱性詳細

IBM Notes および IBM Domino に問題

Title	IBM Notes および IBM Domino に問題
Summary	32bit 版 Linux で動作する IBM Notes および IBM Domino は、実行不可属性によるメモリ領域の保護が行われていません。 32bit 版 Linux で動作する IBM Notes および IBM Domino は、gcc のオプションに -z execstack を指定してコンパイルされています。そのため、これらの製品では実行不可属性による stack、heap、data セクションなどのメモリ領域の保護が行われていません。この設定は添付ファイルのプレビューを生成したり、全文検索用のインデックスを生成したりする子プロセスにも引き継がれます。
Possible impacts	脆弱性が存在した場合、攻撃されやすくなります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。　・ execstack ユーティリティを使用して ELF ヘッダを変更することで、実行不可属性の無効化を解除する　execstack 　http://linux.die.net/man/8/execstack
Publication Date	April 22, 2014, midnight
Registration Date	April 23, 2014, 6:59 p.m.
Last Update	June 26, 2014, 5:34 p.m.

CVSS2.0 : 警告
Score	5
Vector	AV:N/AC:L/Au:N/C:P/I:N/A:N

Affected System

IBM

IBM Domino (旧 IBM Lotus Domino) 8.5.x

IBM Domino (旧 IBM Lotus Domino) 9.0.1 Interim Fix 2 およびそれ以前

IBM Notes 8.5.x

IBM Notes 9.0.1 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-0892	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0892
National Vulnerability Database (NVD)
2	CVE-2014-0892	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0892

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	Name	URL
IBM Support Document
1	Download Options for Notes & Domino 9.0.1 Fix Packs	https://www-01.ibm.com/support/docview.wss?uid=swg24037141
2	Security Bulletin: IBM Notes & Domino fixes for multiple vulnerabilities (CVE-2014-0892 and Oracle Java Critical Patch Updates for Oct 2013, Jan 2014)	https://www-01.ibm.com/support/docview.wss?uid=swg21670264
IBM セキュリティー情報
3	(参考) IBM Notes/Domino における複数の脆弱性の問題の修正 (CVE-2014-0892 および 2013 年 10 月と 2014 年 1 月の Oracle Java Critical Patch Update)	http://www-01.ibm.com/support/docview.wss?uid=swg21671008

その他

No	Name	URL
JVN
1	JVNVU#98935174	https://jvn.jp/vu/JVNVU98935174/
US-CERT Vulnerability Note
2	VU#350089	http://www.kb.cert.org/vuls/id/350089
関連文書
3	Feeling Insecure? Blame Your Parent!	https://www.cert.org/blogs/certcc/post.cfm?EntryID=190

Change Log

No	Changed Details	Date of change
0	[2014年04月23日] 掲載 [2014年04月30日] CWE による脆弱性タイプ一覧：CWE-ID を追加参考情報：National Vulnerability Database (NVD) (CVE-2014-0892) を追加 [2014年06月26日] ベンダ情報：IBM ((参考) IBM Notes/Domino における複数の脆弱性の問題の修正 (CVE-2014-0892 および 2013 年 10 月と 2014 年 1 月の Oracle Java Critical Patch Update)) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2014-0892

Summary	IBM Notes and Domino 8.5.x before 8.5.3 FP6 IF3 and 9.x before 9.0.1 FP1 on 32-bit Linux platforms use incorrect gcc options, which makes it easier for remote attackers to execute arbitrary code by leveraging the absence of the NX protection mechanism and placing crafted x86 code on the stack, aka SPR KLYH9GGS9W.
Publication Date	April 24, 2014, 4:55 a.m.
Registration Date	Jan. 26, 2021, 3:05 p.m.
Last Update	Nov. 21, 2024, 11:02 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:ibm:lotus_domino:8.5.0:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.0.1:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.1:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.1.1:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.1.2:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.1.3:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.1.4:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.1.5:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.2.0:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.2.1:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.2.2:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.2.3:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.2.4:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.3.0:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.3.1:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.3.2:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.3.3:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.3.4:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.3.5:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.3.6:::::::*
cpe:2.3:a:ibm:lotus_domino:9.0.0.0:::::::*
cpe:2.3:a:ibm:lotus_domino:9.0.1.0:::::::*
execution environment
1	cpe:2.3:o:linux:linux_kernel::::::::

Configuration2		or higher	or less	more than	less than
cpe:2.3:a:ibm:lotus_notes:8.5:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.0.0:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.0.1:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.1:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.1.0:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.1.1:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.1.2:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.1.3:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.1.4:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.1.5:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.2.0:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.2.1:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.2.2:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.2.3:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.3:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.3.1:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.3.2:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.3.3:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.3.4:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.3.5:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.3.6:::::::*
cpe:2.3:a:ibm:lotus_notes:9.0.0.0:::::::*
cpe:2.3:a:ibm:lotus_notes:9.0.1.0:::::::*
execution environment
1	cpe:2.3:o:linux:linux_kernel::::::::

Related information, measures and tools

No	URL	タグ
1	http://www.kb.cert.org/vuls/id/350089	US Government Resource
2	http://www.kb.cert.org/vuls/id/350089	US Government Resource
3	http://www-01.ibm.com/support/docview.wss?uid=swg21670264	Vendor Advisory
4	http://www-01.ibm.com/support/docview.wss?uid=swg21670264	Vendor Advisory
5	https://exchange.xforce.ibmcloud.com/vulnerabilities/91286
6	https://exchange.xforce.ibmcloud.com/vulnerabilities/91286

Common Vulnerabilities List

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:ibm:lotus_domino:8.5.0:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.0.1:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.1:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.1.1:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.1.2:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.1.3:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.1.4:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.1.5:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.2.0:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.2.1:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.2.2:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.2.3:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.2.4:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.3.0:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.3.1:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.3.2:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.3.3:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.3.4:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.3.5:::::::*
cpe:2.3:a:ibm:lotus_domino:8.5.3.6:::::::*
cpe:2.3:a:ibm:lotus_domino:9.0.0.0:::::::*
cpe:2.3:a:ibm:lotus_domino:9.0.1.0:::::::*
execution environment
1	cpe:2.3:o:linux:linux_kernel::::::::

Configuration2		or higher	or less	more than	less than
cpe:2.3:a:ibm:lotus_notes:8.5:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.0.0:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.0.1:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.1:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.1.0:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.1.1:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.1.2:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.1.3:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.1.4:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.1.5:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.2.0:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.2.1:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.2.2:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.2.3:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.3:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.3.1:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.3.2:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.3.3:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.3.4:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.3.5:::::::*
cpe:2.3:a:ibm:lotus_notes:8.5.3.6:::::::*
cpe:2.3:a:ibm:lotus_notes:9.0.0.0:::::::*
cpe:2.3:a:ibm:lotus_notes:9.0.1.0:::::::*
execution environment
1	cpe:2.3:o:linux:linux_kernel::::::::