ページビューの合計

2023年7月20日木曜日

#HCL #Verse で発生した障害について

In this issue, I report on the failure of HCL Verse that occurred at our company and its solution.


みなさま、こんにちは。
今回は弊社環境で発生したメール(Verse)の障害について、レポートさせて頂きたいと思います。


・・・写真がないので、Verseの概要貼っておきます(汗


まず発生した現象を説明致します。

①私自身のパソコン(MAC)で自宅からプラウザでVerseへの接続(最新のメール受信も)は問題なく行えています。
不必要なメールを削除したのですが、ゾンビのように復活してきます。
新規メールを作成しようとしても送信できなかったり、ファイル添付ができないといった挙動が発生しました。

②ユーザーからモバイルVerseからメール送信できなくなったとの報告が寄せられ始めました。

③会社ネットワーク内のパソコンから、ブラウザでVerseを開いてみたのですが、何の問題もなく利用可能でした。


上記のことから、外部からのアクセスルートに問題があるのではと推測し、調査を始めました。

ちなみに社外からのルートとしては、

nginxサーバー→Safelinxサーバー→Dominoサーバー

となっています。


状況をサポートへ問い合わせたところ、以下回答がございました。

●エラーログ
2023/07/13 06:13:38 iNotes XSS Security: Invalid Request, missing expected nonce value; with Referer: 'https://****/verse'. Request not processed, throwing exception.

●エラーの原因
この問題は、iNotesサーバーによって検証されNonce値の不一致で発生します。

Nonce チェックというセキュリティ機能がDomino 8.5.2リリースで追加されました。Nonceチェックの目的は、クロスサイトリクエストフォージェリ(CSRF)攻撃をブロックすることです。ユーザーが iNotesで POSTリクエスト(メールの送信、ドラフトの保存、 連絡先の作成、iNotes設定の保存など)を試みる際に、サーバーで生成された値(Nonce)でブラウザの値を検証します。Nonce値はShimmerS Cookieに保存されていますが、プロキシサーバー(IMCなど)を介してDominoを実行するときに競合を引き起こすことがあり、このメッセージが表示されます。

私の理解範囲を超える内容でしたが、プロキシサーバーをはさんでDominoを実行する際のCookieに問題がありそうです。


●解決策

サーバーのnotes.iniにふたつのパラメーターをセットすることで、この機能を無効にできるそうです。

→サーバーコンソールで以下コマンドを実行するように指示がありました。

Set config iNotes_WA_Security_NonceCheck=0 
Set config iNotes_WA_Security_RefererCheck=0

その後、HTTPタスクを再起動して完了です。


●結果

何事もなかったかのように利用できるよう、復旧致しました。


以上で障害そのものは解消したのですが、なぜ突然発生したのかは確認できていません。
先般、クラスターサーバーや、メールアーカイブ用のサーバーを追加したのですが、それが影響しているとも考えにくいのかなと感じています。

すこしモヤモヤした感じは残りますが、もし皆様でも同じような現象が生じた場合は、一度お試しください。
notes.iniに書き込んでいるだけですので、簡単に戻せますので!!

この度もHCL様サポートの皆様にはたいへんお世話になりました。
いつもありがとうございます!!