2005年02月8日 (火曜日)

本日、リスメールチームは RisuMail 1.4.3a-3 をリリースしました。

本リリースではセキュリティ脆弱性に対する重要な修正を行いました。

バグフィックスとして、LDAPにおける日本語表示やファイルダウンロード時におけるIE対応の一部の不具合修正も行いました。

RisuMailはSquirrelMailのコードに基づいており、以下の脆弱性はSquirrelMail 1.4.3aそしてRisuMail 1.4.3a-2時点で存在するものを以下に挙げます。

"Common Vulnerabilities and Exposures"プロジェクト（cve.mitre.org）により、それぞれの脆弱性はCAN-2005-0075、CAN-2005-0103、CAN-2005-0104と命名されています。

CAN-2005-0075
A recent change in prefs.php allowed for an attacker to provide a specially crafted URL that could include local code into the SquirrelMail code.

最近prefs.phpで行われた一部の変更により、攻撃者は任意コードを含む巧妙な URLを提供することが可能です。

（ただし、この脆弱性はPHPにおける設定がregister_globals=onの場合のみ存在するもので、以前からこの設定はさけるべく、register_globals=offとすべきであるとの指摘がオープンソースコミュニティにおいてなされています。RisuMail Serverに含まれるPHPの標準設定ではoffとなっています。）

CAN-2005-0103
Insufficient checking of incoming URL vars allowed for an attacker to include arbitrary remote web pages in the SquirrelMail frameset.

webmail.phpにおいて読み込むURLの値のチェックが不十分なため、攻撃者がSquirrelMailのフレームセット内で任意のウェブページを読み込ませることが可能です。

CAN-2005-0104
Insufficient escaping of integer variables in webmail.php allowed for a remote attacker to include HTML/script-code into a SquirrelMail webpage.

webmail.phpにおいて数値として受け取るべき変数の値のチェックが不十分なため、HTML又はスクリプトコードをSquirrelMailのウェブページに読み込ませることが可能です。

上記の脆弱性に関する詳細は以下のURLをご参照下さい。

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0075
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0103
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0104

これらの脆弱性に対応するリリースとして公開されたSquirrelMail 1.4.4における修正点は本リリースのRisuMail 1.4.3-3で反映しています。リスメールチームはRisuMailをお使いの全てのお客様に本バージョンへアップグレードされることを強くお勧めします。

最新のRisuMailは次のOSディストリビューション又はリリース用にご用意し、お客様専用ダウンロードサイトにより、直ちに入手可能です。

Red Hat Enterprise Linux 2.1 (ES, AS, 他)
Red Hat Enterprise Linux 3 (ES, AS, 他)
Red Hat Linux 7.3
Red Hat Linux 8.0
Red Hat Linux 9
Fedora Core 1
Fedora Core 2
Fedora Core 3

RisuMail製品ご購入検討中の方はご注文・お問い合わせフォームをご利用下さい。

リスメールチーム一同