2017年4月25日(火曜日)
弊社製品ご利用中のお客様各位、
RisuMail にも該当する SquirrelMail の脆弱性が公表されましたのでご連絡致します。
本脆弱性は SquirrelMail 1.4.22 またはそれ以前のバージョンで確認されており、弊社で詳しく調査をしたところ、RisuMail においても同様の脆弱性を確認致しました。
本脆弱性が悪用されるには、MTA は Sendmail であってかつ RisuMail は config ファイルで sendmail をコマンドラインで実行する設定になっている(すなわち /etc/risumail/config.php では $useSendmail は true になっている)という条件が満たされる必要があります。
上記の内容が基本的な条件になりますので、弊社が推奨している Postfix ではこの脆弱性は該当致しません。
脆弱性は Deliver_SendMail.class.php のファイルにあり、Sendmail を使用しているお客様向けに次のリリース用の修正パッチ及び修正済みファイルをご用意しました。