公開日:2005/01/28 最終更新日:2005/03/17

JVNVU#702777
UW-imapでユーザ認証が正しく行われない脆弱性

概要



UW-imapサーバーにおいて、認証方法に存在する脆弱性により、遠隔の第三者が任意のユーザのメールボックスに対してアクセス可能であることが確認されました。

影響を受けるシステム

  • 2005年1月4日公開の imap-2004b より前のバージョンを使用し、明示的にCRAM-MD5スタイルの認証を有効にしているサイト
    (当初の環境においてCRAM-MD5スタイルの認証は有効ではありません)

詳細情報

想定される影響




遠隔の第三者によりシステム上の任意のユーザー認証を取得され、メールを読まれたり削除されたりする可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
アライドテレシス株式会社 該当製品無し 2005/01/28
クオリティ 該当製品無し 2005/01/28
ジャストシステム 該当製品無し 2005/01/28
富士通 該当製品無し 2005/03/17
日本電気 該当製品無し 2005/03/08
日立 該当製品無し 2005/01/28

参考情報

  1. US-CERT Vulnerability Note VU#702777
    UW-imapd fails to properly authenticate users when using CRAM-MD5
  2. University of Washington
    IMAP Information Center

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia