■E-Post Mail Serverにおけるバッファオーバーフローの脆弱性に対する パッチプログラムの補足情報 ●リリース日: 2008年4月22日 ●影響を受けるソフトウェアとバージョン E-Post Mail Serverシリーズ EPSTPOP3Sのバージョン:4.22以前 ●概要 E-Post Mail ServerシリーズのPOP3サービスプログラム(EPSTPOP3S)に重大 な脆弱性が発見されました。攻撃者がこの脆弱性を悪用することに成功した場 合、当該システムが攻撃者によって制御される恐れがあります。対象となるソ フトウェアをお使いの皆様には、以下の手順によるアップデートを推奨します。 ●詳細 この脆弱性は、バージョン4.22以前のEPSTPOP3Sサービスプログラムにおいて、 APOP認証を同一セッション内で一定回数繰り返すと、パスワードを取得できて しまう不具合に関するものです。 この不具合は、APOPによる接続を有効としていないPOPサーバには直接影響し ません。しかしながら、E-Post Mail Serverシリーズ製品に実装しているSMTP 認証機能は、APOP認証と共通の「認証ファイル」を使用しているため、APOP認 証を直接使っていない通常のPOP認証の場合でも、SMTP認証を有効にしている メールサーバの環境では、パスワードを取得できてしまう恐れがあります。 なお、APOP認証を利用していない場合か、あるいはSMTP認証を利用していない 場合は、今回の脆弱性がもたらす直接の影響はありません。 ●重要度 イー・ポストは、この問題をクリティカルな案件と分類し、対象ユーザの皆様 が、当該ソフトウェアに対して早急に修正を行うことを推奨します。 特に、POPサービスでAPOP認証を使用している場合、あるいはメールサーバの 環境でSMTP認証を有効にしている場合は、早急にパッチを適用してください。 ●解決方法 以下の手順に従ってパッチを適用してください。パッチプログラムは、この脆 弱性に対する対策を施したプログラムです。 1. 指定場所から zipファイルをダウンロードします。 2. ダウンロードしたファイル epstpop3s-v423.zip を解凍し、epstpop3s. exe を取り出します。 3. E-Post Mail ServerのMail Control画面の「サービス制御」タブ画面を選 択、EPSTPOP3Sの[停止]ボタンをクリックして、サービスプログラムを停止 します。 4. E-Post Mail Serverのプログラムインストール先フォルダ(既定ではC:\ Program Files\EPOST\MS)に、epstpop3s.exe を上書きコピーします。 念のためロールバックできるようにしたいときは、コピーする前に元のファ イルを任意のファイル名にリネームしておいてください。 5. EPSTPOP3S の[開始]ボタンをクリックしてサービスプログラムを再開し ます。 6. Mail Control画面の「バージョン情報」タブ画面を選択、EPSTPOP3Sのバ ージョンが 4.23 になっているのを確認します。 ●免責条項 ソフトウェア使用許諾条件に準拠します。