「STARTTLS」の実装に、リモートから任意のコマンドを実行される脆弱性(JVN)
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は3月8日、「STARTTLS」の実装に脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した「STARTTLS」は、メール送受信の
脆弱性と脅威
セキュリティホール・脆弱性
複数のSTARTTLS実装には、中間者攻撃(man-in-the-middle attack)によって、コマンドを挿入される可能性がある。本脆弱性は、暗号文通信への切り替えがアプリケーションより下位の層で行われていることに起因している。なお本脆弱性は、証明書の検証を行っている実装のみが関連する。この問題が悪用されると、通信を傍受可能なリモートの第三者によって任意のコマンドを実行される可能性がある。JVNでは、開発者が提供する情報をもとに対応したアップデートを適用するよう呼びかけている。また、暗号文通信への切り替え時に、アプリケーションの入出力バッファを初期化することでも、本脆弱性の影響を回避できる。
(吉澤亨史)
http://jvn.jp/cert/JVNVU555316/index.html
《ScanNetSecurity》