Kent Web PostMailのセキュリティ・ホール(IPAの資料より引用)
[画像のクリックで拡大表示]
JP Vendor Status Notes(JVN)は11月11日,Webからメールを送信するメール・フォーム「Kent Web PostMail」に迷惑メールの踏み台にされるセキュリティ・ホールが存在することを公表した。Kent Web PostMail 3.2およびそれ以前のバージョンが影響を受ける。対策はv3.3にバージョンアップすること。
Kent PostMailはWebフォームに入力された内容を,あらかじめ設定されたメール・アドレスに送信するPerlのCGIプログラム。通常送信先メール・アドレスは管理者が設定し,Webサイトの利用者が変更することはできない。しかしPostMail 3.2以前のバージョンは入力データのチェックが不十分で,ある方法によって,データに含まれた宛先にメールを送信させられてしまう恐れがあった。
このセキュリティ・ホールはWIDEプロジェクト Antispamワーキンググループ 佐川昭宏氏が発見し,独立行政法人 情報処理推進機構(IPA)に通報,情報セキュリティ早期警戒パートナーシップに基づきJPCERT/CCがKent Web PostMailの作者であるKENT氏に連絡した。
◎関連情報
◆JVN#25106961 Kent Web PostMail におけるメール第三者中継の脆弱性(JVN)
◆JVN#25106961:Kent Web「PostMail」におけるメール第三者中継の脆弱性(IPA)
