In this issue, I report on the failure of HCL Verse that occurred at our company and its solution.
みなさま、こんにちは。
今回は弊社環境で発生したメール(Verse)の障害について、レポートさせて頂きたいと思います。
・・・写真がないので、Verseの概要貼っておきます(汗
まず発生した現象を説明致します。
①私自身のパソコン(MAC)で自宅からプラウザでVerseへの接続(最新のメール受信も)は問題なく行えています。
不必要なメールを削除したのですが、ゾンビのように復活してきます。
新規メールを作成しようとしても送信できなかったり、ファイル添付ができないといった挙動が発生しました。
②ユーザーからモバイルVerseからメール送信できなくなったとの報告が寄せられ始めました。
③会社ネットワーク内のパソコンから、ブラウザでVerseを開いてみたのですが、何の問題もなく利用可能でした。
上記のことから、外部からのアクセスルートに問題があるのではと推測し、調査を始めました。
ちなみに社外からのルートとしては、
nginxサーバー→Safelinxサーバー→Dominoサーバー
となっています。
状況をサポートへ問い合わせたところ、以下回答がございました。
●エラーログ
2023/07/13 06:13:38 iNotes XSS Security: Invalid Request, missing expected nonce value; with Referer: 'https://****/verse'. Request not processed, throwing exception.
●エラーの原因
この問題は、iNotesサーバーによって検証されNonce値の不一致で発生します。
Nonce チェックというセキュリティ機能がDomino 8.5.2リリースで追加されました。Nonceチェックの目的は、クロスサイトリクエストフォージェリ(CSRF)攻撃をブロックすることです。ユーザーが iNotesで POSTリクエスト(メールの送信、ドラフトの保存、 連絡先の作成、iNotes設定の保存など)を試みる際に、サーバーで生成された値(Nonce)でブラウザの値を検証します。Nonce値はShimmerS Cookieに保存されていますが、プロキシサーバー(IMCなど)を介してDominoを実行するときに競合を引き起こすことがあり、このメッセージが表示されます。
私の理解範囲を超える内容でしたが、プロキシサーバーをはさんでDominoを実行する際のCookieに問題がありそうです。
●解決策
サーバーのnotes.iniにふたつのパラメーターをセットすることで、この機能を無効にできるそうです。
→サーバーコンソールで以下コマンドを実行するように指示がありました。
Set config iNotes_WA_Security_NonceCheck=0
Set config iNotes_WA_Security_RefererCheck=0
その後、HTTPタスクを再起動して完了です。
●結果
何事もなかったかのように利用できるよう、復旧致しました。
以上で障害そのものは解消したのですが、なぜ突然発生したのかは確認できていません。
先般、クラスターサーバーや、メールアーカイブ用のサーバーを追加したのですが、それが影響しているとも考えにくいのかなと感じています。
すこしモヤモヤした感じは残りますが、もし皆様でも同じような現象が生じた場合は、一度お試しください。
notes.iniに書き込んでいるだけですので、簡単に戻せますので!!
notes.iniに書き込んでいるだけですので、簡単に戻せますので!!
この度もHCL様サポートの皆様にはたいへんお世話になりました。
いつもありがとうございます!!
いつもありがとうございます!!