RisuMail 1.4.3a-3 リリース

2005年2月8日 (火曜日)

本日、リスメールチームは RisuMail 1.4.3a-3 をリリースしました。

本リリースではセキュリティ脆弱性に対する重要な修正を行いました。

バグフィックスとして、LDAP における日本語表示やファイルダウンロード時における IE 対応の一部の不具合修正も行いました。

RisuMail は SquirrelMail のコードに基づいており、以下の脆弱性は SquirrelMail 1.4.3a そして RisuMail 1.4.3a-2 時点で存在するものを以下に挙げます。

"Common Vulnerabilities and Exposures"プロジェクト(cve.mitre.org)により、それぞれの脆弱性は CAN-2005-0075、CAN-2005-0103、CAN-2005-0104 と命名されています。

CAN-2005-0075
A recent change in prefs.php allowed for an attacker to provide a specially crafted URL that could include local code into the SquirrelMail code.

最近 prefs.php で行われた一部の変更により、攻撃者は任意コードを含む巧妙な URL を提供することが可能です。

(ただし、この脆弱性は PHP における設定が register_globals=on の場合のみ存在するもので、以前からこの設定はさけるべく、register_globals=off とすべきであるとの指摘がオープンソースコミュニティにおいてなされています。RisuMail Server に含まれる PHP の標準設定では off となっています。)

CAN-2005-0103
Insufficient checking of incoming URL vars allowed for an attacker to include arbitrary remote web pages in the SquirrelMail frameset.

webmail.php において読み込む URL の値のチェックが不十分なため、攻撃者が SquirrelMail のフレームセット内で任意のウェブページを読み込ませることが可能です。

CAN-2005-0104
Insufficient escaping of integer variables in webmail.php allowed for a remote attacker to include HTML/script-code into a SquirrelMail webpage.

webmail.php において数値として受け取るべき変数の値のチェックが不十分なため、HTML 又はスクリプトコードを SquirrelMail のウェブページに読み込ませることが可能です。

上記の脆弱性に関する詳細は以下の URL をご参照下さい。

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0075
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0103
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0104

これらの脆弱性に対応するリリースとして公開された SquirrelMail 1.4.4 における修正点は本リリースの RisuMail 1.4.3-3 で反映しています。リスメールチームは RisuMail をお使いの全てのお客様に本バージョンへアップグレードされることを強くお勧めします。

最新の RisuMail は次の OS ディストリビューション又はリリース用にご用意し、お客様専用ダウンロードサイトにより、直ちに入手可能です。

Red Hat Enterprise Linux 2.1 (ES, AS, 他)
Red Hat Enterprise Linux 3 (ES, AS, 他)
Red Hat Linux 7.3
Red Hat Linux 8.0
Red Hat Linux 9
Fedora Core 1
Fedora Core 2
Fedora Core 3

RisuMail 製品ご購入検討中の方はご注文・お問い合わせフォームをご利用下さい。

リスメールチーム一同