セキュリティ・ベンダーのデンマークSecuniaは現地時間9月9日,Microsoft Exchange Server 2003にDoS(サービス妨害)攻撃を受ける脆弱性(セキュリティ・ホール)が見つかったことを公表した。特定の条件下で細工が施されたデータを送信されると,Exchange Serverのサービスを停止させられる。マイクロソフトでは9月2日付けでサポート技術情報を公開しているが,セキュリティ情報(Security Bulletin)としては公開していない。同社に問い合わせれば修正パッチ(hotfix)を入手できる。
今回の脆弱性は,Exchange Serverの情報共有機能であるパブリック・フォルダに関するもの。IMAP4ユーザーにパブリック フォルダの一覧表示を許可していないExchange Serverに対して,プライベート メールボックスを持っていないユーザーがIMAP4 version 4rev1でパブリック・フォルダの一覧表示を要求すると,Exchange ServerのモジュールExchange Information Store(Store.exe)がクラッシュする。
限定された状況でのみ影響を受けるので,Secuniaでは深刻度(危険度)を「Less critical(5段階中上から4番目)」に設定している。
マイクロソフトでは修正パッチを用意しているものの,同社サイトでは公開していない。入手するには,同社の「サポート契約センター」へ問い合わせる必要がある。パッチの適用対象は,Exchange Server 2003 Service Pack 1。
今回の脆弱性を修正するパッチは,今後公開されるサービスパックに含まれる予定である。加えて,現在の修正パッチには追加のテストなどを実施する可能性があるので,深刻な影響を受けていない場合には,次期サービスパックを待つよう同社では勧めている。
◎参考資料
◆(Knowledge Base 840123)The Microsoft Exchange Information Store service crashes when an Internet Message Access Protocol, Version 4rev1 user tries to list public folders from a server that is running Exchange Server 2003
◆(サポート技術情報 840123)Microsoft Exchange Information Store サービスは,4rev1 を使用する場合が Exchange Server 2003 を実行しているサーバーからのパブリック フォルダを一覧表示するのを試みるバージョンの IMAP4(Internet Message Access Protocol)のとき,クラッシュ(9月9日11時点では機械翻訳)
◆修正プログラムの入手方法
◆Microsoft Exchange Server 2003 Folder Listing Denial of Service