公開日:2024/01/17 最終更新日:2024/01/17

JVNVU#94855660
SMTPのデータの終端の処理の実装に関する問題

概要

複数のSMTP実装に対して、データの終わりを宣言する文字の解釈が異なることによる問題が報告されています。

影響を受けるシステム

影響を受けるシステムについては、CERT/CC VU#302671のVendor Informationを参照してください。

発見者は、本問題の影響を受けるかどうかを検証するツールを提供しています。

詳細情報

SMTPは電子メールの送信および交換のためのプロトコルで、RFC5321およびRFC5322にて定義されています。RFCではデータの終端を表す文字として<CRLF>.<CRLF>と定義されています。 しかし、データの終端が<CRLF>.<CRLF>以外のメールを受信した場合に、以降のデータの扱いが実装によって異なる問題が報告されています。

本問題を悪用する攻撃手法は発見者により「SMTP Smuggling」と呼称されています。

想定される影響

本問題が悪用された場合、認証メカニズムをバイパスしてなりすましメールを送信される可能性があります。

対策方法

使用している電子メールサービスのベンダが提供する情報を注視し、回避策やパッチ等を適用してください。

ベンダ情報

参考情報

  1. Vulnerability Note VU#302671
    SMTP end-of-data uncertainty can be abused to spoof emails and bypass policies
  2. SMTP Smuggling - Spoofing E-Mails Worldwide
  3. SMTP Smuggling

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia