| タイトル | IBM Domino における認証キーを取得される脆弱性 |
|---|---|
| 概要 | IBM Domino は、TLS および AES GCM を使用している場合、ランダムな nonce 生成を使用するため、認証キーを取得され、データを偽造される脆弱性が存在します。 なお、A10 の問題は CVE-2016-10213、Radware の 問題は CVE-2016-10212、Citrix の問題については CVE-2017-5933 をご参照ください。 |
| 想定される影響 | リモートの攻撃者により、セッション中の nonce の再利用と "禁止された攻撃 (forbidden attack)" を利用されることで、認証キーを取得され、データを偽造される可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2016年3月28日0:00 |
| 登録日 | 2017年3月3日15:45 |
| 最終更新日 | 2017年3月3日15:45 |
| CVSS3.0 : 警告 | |
| スコア | 5.9 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
| CVSS2.0 : 警告 | |
| スコア | 4.3 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:N/A:N |
| IBM |
| IBM Client Application Access 1.0.0.1 および 1.0.0.1 IF 1 |
| IBM Domino 9.0.1 FP 3 IF 2 から 9.0.1 FP 5 IF 1 |
| IBM Notes 9.0.1 FP 3 IF 3 およびそれ以降 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2017年03月03日] 掲載 |
2018年2月17日10:37 |
| 概要 | IBM Domino 9.0.1 Fix Pack 3 Interim Fix 2 through 9.0.1 Fix Pack 5 Interim Fix 1, when using TLS and AES GCM, uses random nonce generation, which makes it easier for remote attackers to obtain the authentication key and spoof data by leveraging the reuse of a nonce in a session and a "forbidden attack." NOTE: this CVE has been incorrectly used for GCM nonce reuse issues in other products; see CVE-2016-10213 for the A10 issue, CVE-2016-10212 for the Radware issue, and CVE-2017-5933 for the Citrix issue. |
|---|---|
| 公表日 | 2017年2月9日1:59 |
| 登録日 | 2021年1月26日14:03 |
| 最終更新日 | 2024年11月21日11:41 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:ibm:notes:9.0.1.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ibm:domino:9.0.1.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ibm:client_application_access:1.0.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ibm:notes:9.0.1.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ibm:domino:9.0.1.4:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ibm:notes:9.0.1.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:ibm:domino:9.0.1.3:*:*:*:*:*:*:* | |||||