■E-Post Mail Serverにおけるバッファオーバーフローの脆弱性に対する
　パッチプログラムの補足情報

●リリース日： 2008年4月22日

●影響を受けるソフトウェアとバージョン
E-Post Mail Serverシリーズ　EPSTPOP3Sのバージョン:4.22以前

●概要

E-Post Mail ServerシリーズのPOP3サービスプログラム（EPSTPOP3S）に重大
な脆弱性が発見されました。攻撃者がこの脆弱性を悪用することに成功した場
合、当該システムが攻撃者によって制御される恐れがあります。対象となるソ
フトウェアをお使いの皆様には、以下の手順によるアップデートを推奨します。

●詳細

この脆弱性は、バージョン4.22以前のEPSTPOP3Sサービスプログラムにおいて、
APOP認証を同一セッション内で一定回数繰り返すと、パスワードを取得できて
しまう不具合に関するものです。
この不具合は、APOPによる接続を有効としていないPOPサーバには直接影響し
ません。しかしながら、E-Post Mail Serverシリーズ製品に実装しているSMTP
認証機能は、APOP認証と共通の「認証ファイル」を使用しているため、APOP認
証を直接使っていない通常のPOP認証の場合でも、SMTP認証を有効にしている
メールサーバの環境では、パスワードを取得できてしまう恐れがあります。
なお、APOP認証を利用していない場合か、あるいはSMTP認証を利用していない
場合は、今回の脆弱性がもたらす直接の影響はありません。

●重要度

イー・ポストは、この問題をクリティカルな案件と分類し、対象ユーザの皆様
が、当該ソフトウェアに対して早急に修正を行うことを推奨します。
特に、POPサービスでAPOP認証を使用している場合、あるいはメールサーバの
環境でSMTP認証を有効にしている場合は、早急にパッチを適用してください。

●解決方法

以下の手順に従ってパッチを適用してください。パッチプログラムは、この脆
弱性に対する対策を施したプログラムです。

　1. 指定場所から zipファイルをダウンロードします。
　2. ダウンロードしたファイル　epstpop3s-v423.zip　を解凍し、epstpop3s.
　exe を取り出します。
　3. E-Post Mail ServerのMail Control画面の「サービス制御」タブ画面を選
　択、EPSTPOP3Sの［停止］ボタンをクリックして、サービスプログラムを停止
　します。
　4. E-Post Mail Serverのプログラムインストール先フォルダ（既定ではC:\
　Program Files\EPOST\MS）に、epstpop3s.exe を上書きコピーします。
　念のためロールバックできるようにしたいときは、コピーする前に元のファ
　イルを任意のファイル名にリネームしておいてください。
　5. EPSTPOP3S の［開始］ボタンをクリックしてサービスプログラムを再開し
　ます。
　6. Mail Control画面の「バージョン情報」タブ画面を選択、EPSTPOP3Sのバ
　ージョンが 4.23 になっているのを確認します。

●免責条項

ソフトウェア使用許諾条件に準拠します。