IBM Domino 8.5.x / 9.0.x <9.0.1のフィックスパック8 TLSサーバーDiffie-Hellman鍵検証MitM
critical Nessus プラグイン ID 100682
Language:
概要
リモートホストで実行されているビジネスコラボレーションアプリケーションは、キー検証の脆弱性の影響を受けます。説明
バナーによると、リモートホストで実行中のIBM Domino(旧IBM Lotus Domino)のバージョンは、8.5.xまたは9.0.1 Fix Pack 8より前の9.0.xです。したがって、Diffie-Hellmanパラメーターが不適切に検証されているため、TLSサーバーの欠陥の影響を受けます。中間者攻撃の攻撃者(MitM)がこれを悪用し、小さいサブグループに対する攻撃を介して、暗号を容易に解読することでサーバーとクライアントの接続を侵害し、ユーザー認証の資格情報を漏えいさせる可能性があります。ソリューション
IBM Dominoバージョン9.0.1 Fix Pack 8以降にアップグレードしてください。下記のリリースを引き続き使用するユーザーは、IBM Supportのサービスリクエストを開いてカスタムHotfixを取得してください:-バージョン9.0.1~9.0.1 Fix Pack 7 Interim Fix 2、バージョン9.0~9.0 Interim Fix 7参考資料
プラグインの詳細
深刻度: Critical
ID: 100682
ファイル名: domino_9_0_1_fp8.nasl
バージョン: 1.7
タイプ: remote
ファミリー: Misc.
公開日: 2017/6/9
更新日: 2022/4/11
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2016-6087
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:ibm:domino
必要な KB アイテム: Settings/ParanoidReport, Domino/Version
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2017/5/31
脆弱性公開日: 2017/5/31
参照情報
CVE: CVE-2016-6087
BID: 98794
IAVB: 2017-B-0064