| Title | IBM Domino における認証キーを取得される脆弱性 |
|---|---|
| Summary | IBM Domino は、TLS および AES GCM を使用している場合、ランダムな nonce 生成を使用するため、認証キーを取得され、データを偽造される脆弱性が存在します。 なお、A10 の問題は CVE-2016-10213、Radware の 問題は CVE-2016-10212、Citrix の問題については CVE-2017-5933 をご参照ください。 |
| Possible impacts | リモートの攻撃者により、セッション中の nonce の再利用と "禁止された攻撃 (forbidden attack)" を利用されることで、認証キーを取得され、データを偽造される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | March 28, 2016, midnight |
| Registration Date | March 3, 2017, 3:45 p.m. |
| Last Update | March 3, 2017, 3:45 p.m. |
| CVSS3.0 : 警告 | |
| Score | 5.9 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
| CVSS2.0 : 警告 | |
| Score | 4.3 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:P/I:N/A:N |
| IBM |
| IBM Client Application Access 1.0.0.1 および 1.0.0.1 IF 1 |
| IBM Domino 9.0.1 FP 3 IF 2 から 9.0.1 FP 5 IF 1 |
| IBM Notes 9.0.1 FP 3 IF 3 およびそれ以降 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2017年03月03日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | IBM Domino 9.0.1 Fix Pack 3 Interim Fix 2 through 9.0.1 Fix Pack 5 Interim Fix 1, when using TLS and AES GCM, uses random nonce generation, which makes it easier for remote attackers to obtain the authentication key and spoof data by leveraging the reuse of a nonce in a session and a "forbidden attack." NOTE: this CVE has been incorrectly used for GCM nonce reuse issues in other products; see CVE-2016-10213 for the A10 issue, CVE-2016-10212 for the Radware issue, and CVE-2017-5933 for the Citrix issue. |
|---|---|
| Publication Date | Feb. 9, 2017, 1:59 a.m. |
| Registration Date | Jan. 26, 2021, 2:03 p.m. |
| Last Update | Nov. 21, 2024, 11:41 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:ibm:notes:9.0.1.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ibm:domino:9.0.1.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ibm:client_application_access:1.0.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ibm:notes:9.0.1.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ibm:domino:9.0.1.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ibm:notes:9.0.1.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ibm:domino:9.0.1.3:*:*:*:*:*:*:* | |||||