セキュリティ修正の履歴が公表されていないケース
2007年1月9日(火曜日)
セキュリティ修正の履歴が公表されていないケース
「コンピュータウイルス・不正アクセスの届出状況[12月分および2006年年間]について (www.ipa.go.jp)」というのが出ております。
ネットワーク管理者から「ウェブページ改ざんを検知した」との通知を受け調査したところ、自身が管理するサーバに設置してあったウェブアプリケーションである「postmail」(Web からメールを送信するメールフォームの cgi プログラム)のディレクトリに不審なファイルが置かれていたことが判明。
(~中略~)
脆弱性のあるバージョンの postmail を使っていたことが原因と思われた。
ここで言う postmail というのは、KENT WEB でフリー配布されている PostMail (www.kent-web.com) のことなのでしょうか。ユニークさのかけらもない名前なので、別の何かである可能性もありますが……。
ともあれ、その KENT WEB の PostMail にについて、以下の 2点を知りたいと思ったわけです。
- 過去に任意コマンドの実行を許すような脆弱性があったのか
- あったとしたら、それはいつ修正されたのか (あるいはまだ修正されていないのか)
で、サイトを見たのですが……セキュリティ修正に関する情報は何処にも出ていないのですね。アーカイブの中に ChangeLog が含まれているのかとも思いましたが、それも無い模様です。これは予想外でした。
もちろん、脆弱性が一切発見されていない状態であれば、何の情報もなかったとしても不思議ではありません。しかし、「JVN#25106961 Kent Web PostMail におけるメール第三者中継の脆弱性 (jvn.jp)」というものが公開されているので、少なくともこの情報は目立つところに出ていて良いはずです。が、この情報のアナウンスも出ていないようで……。
注意深く見ると、以下のような記述があります。
プログラムは、セキュリティ対策を施した v3.4以降を必ずご使用ください。
以上、KENT WEBのフォームメール より
しかし JVN#25106961 では
影響を受けるシステム
- Kent Web PostMail 3.2 及びそれ以前
となっています。さらに、新着情報 (www.kent-web.com)のページを頑張って探してみると、以下のような記述がありました。
■PostMail v3.3
・旧バージョンにてセキュリティホールが見つかりました。
必ず最新版へアップデートしていただきますよう、お願いいたします。
http://www.kent-web.com/data/postmail.html
ということは、v3.3 で第三者中継を修正した後に v3.4 で別のセキュリティ修正を行っているという事のように思いますが、残念ながら v3.4 の改版情報は発見できませんでした。v3.3 についても何が修正されているのか書かれていませんので、第三者中継の修正だけなのか、別の修正も含まれているのか分からないわけでして……。
※もっと言うと、v3.3 では第三者中継ではなく別の修正が行われていて、第三者中継の問題は放置されている可能性さえ考えられます。もっとも、修正されていなければ JVN で情報が公開されることは無いはずなので、第三者中継の問題は修正されているはずですが。
これだけの情報では、セキュリティ修正がきちんと行われているのかどうか、どのバージョンがどのように危険なのか、といったことが判断できません。まあ、フリー配布されているものですし、作者に履歴を公表する義務もないとは思うのですが、
脆弱性のある古いバージョンのメールフォームを使っていたために、攻撃者は侵入とスパムメール送信を余分な手間を掛けずに実行することが可能となっていました。このように脆弱性を放置してしまうと、被害者であると同時に加害者にもなってしまいます。ウェブアプリケーションの場合は、社会的影響も大きくなるため、特に注意が必要です。
……と言われても、作者がセキュリティ修正のアナウンスをきちんとしていないような場合、注意のしようが無いと思うのですよね。あえて言うなら、そういうベンダーのアプリケーションは使用しない、というのが唯一の対策になりますが、では何を使えば良いのかと言うと、これまた非常に難しいことになりそうで……。
- 「セキュリティ修正の履歴が公表されていないケース」にコメントを書く
- 前(古い): メモ : Smarty のセキュリティ
- 次(新しい): FF7アルティマニアオメガ
