土曜日, 4月 24, 2010

【zeroday】libesmtpのセキュリティバイパス問題

libesmtpはsmtpクライアントのライブラリー(API)です。良くLinuxソフト開発で使われております。下記のsmtpプロトコルのRFCに対応してます。
# [RFC 1893] ENHANCEDSTATUSCODES
# [RFC 2920] PIPELINING
# [RFC 1891] DSN
# [RFC 2554] AUTH (SASL)
# [RFC 2487] STARTTLS
# [RFC 1870] SIZE
# [RFC 1985] ETRN
# [RFC 1652] 8BITMIME
# [RFC 2852] DELIVERBY

libesmtpの2件セキュリティ問題は今日発見されて、
1)CVE-2010-1194、libESMTP X.509の'match_component()'のfunctionの所にドメイン認証確認のバグがありセキュリティバイパスVulnerability問題になりました。
2)CVE-2010-1192、CA SSLの認証確認の時にバグがありセキュリティバイパスVulnerability問題になりました。

上記のバグに付いてすべてlibESMTPに影響されております。メーカーから正式なセキュリティーパッチを未だリリースされてません。パッチ待ち状態でワークアラウンドがありCA SSLを無効にする事です。
---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター

0 件のコメント:

コメントを投稿