【活用ガイド】

[English]

JVNDB-2007-000295

APOP におけるパスワード漏えいの脆弱性

概要

APOP は、メールサーバからメールを受信する POP3 プロトコルで使用される認証方式の一つです。

APOP には、プロトコル上の問題でパスワード解読が可能なため、第三者にパスワードが漏えいする問題があります。

本脆弱性は APOP を実装している全てのメールクライアントが影響を受ける可能性があります。
この攻撃では、攻撃者がメールクライアントの通信先であるメールサーバになりすまし、攻撃者が送信するチャレンジ文字列に対するメールクライアントからの応答を、ユーザに気づかれずに長時間にわたって集める必要があります。そのため、実際の攻撃は比較的困難であると考えられます。

CVSS による深刻度 (CVSS とは?)

基本値: 5.4 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし

影響を受けるシステム


Claws Mail
  • Claws Mail 2.9.0 およびそれ以前
Fetchmail Project
  • Fetchmail 6.3.8 未満のバージョン
Mozilla Foundation
  • Mozilla SeaMonkey 1.0.8 およびそれ以前
  • Mozilla SeaMonkey 1.1.1 およびそれ以前
  • Mozilla Thunderbird 2.0.0.3 およびそれ以前
  • Mozilla Thunderbird 1.5.0.11 およびそれ以前
mpop
  • mpop 1.0.8 およびそれ以前
Mutt
  • Mutt 1.4.2.2 およびそれ以前
Sylpheed
  • Sylpheed 2.3.1 およびそれ以前
ターボリナックス
  • Turbolinux 10 Desktop
  • Turbolinux 10 F...
  • Turbolinux 10 Server
  • Turbolinux 10 Server x64 Edition
  • Turbolinux FUJI
  • Turbolinux Multimedia
  • Turbolinux Personal
  • ターボリナックス ホーム 
  • wizpy
ヒューレット・パッカード
  • HP-UX 11.11
  • HP-UX 11.23
  • HP-UX 11.31
ミラクル・リナックス
  • Asianux Server 3 for x86
  • Asianux Server 3 for x86-64
  • MIRACLE LINUX V4.0
  • MIRACLE LINUX V4.0 for x86-64
レッドハット
  • RHEL Optional Productivity Applications (v.5 server)
  • Red Hat Desktop (v.3)
  • Red Hat Desktop (v.4)
  • Red Hat Enterprise Linux (v.5 server)
  • Red Hat Enterprise Linux AS (v.2.1)
  • Red Hat Enterprise Linux AS (v.3)
  • Red Hat Enterprise Linux AS (v.4)
  • Red Hat Enterprise Linux AS (v.4.8.z)
  • Red Hat Enterprise Linux Desktop (v.5 client)
  • Red Hat Enterprise Linux ES (v.2.1)
  • Red Hat Enterprise Linux ES (v.3)
  • Red Hat Enterprise Linux ES (v.4)
  • Red Hat Enterprise Linux ES (v.4.8.z)
  • Red Hat Enterprise Linux EUS (v. 5.3.z server)
  • Red Hat Enterprise Linux WS (v.2.1)
  • Red Hat Enterprise Linux WS (v.3)
  • Red Hat Enterprise Linux WS (v.4)
  • Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor
  • RHEL Desktop Workstation (v.5 client)

想定される影響

APOP 認証で使っているパスワードが漏えいする可能性があります。また、そのパスワードが他のシステムのパスワードと共通である場合、他のシステムのアクセスに利用される可能性があります。
対策

ベンダ情報および参考情報を参照して適切な対策を実施してください。

なお、一部のベンダにおいて対策情報が公開されていますが、本件はプロトコル上の問題であるため、ソフトウェアの修正による根本的な解決はできません。POP over SSL などの暗号化通信を使用することを推奨します。

また、POP アカウントに利用しているパスワードが他のシステムのパスワードと共通である場合、他のシステムへのアクセスに利用される可能性もありますので、サービス毎に異なるパスワードを使うことを推奨します。
ベンダ情報

Claws Mail Fetchmail Project Mozilla Foundation
  • Mozilla Foundation Security Advisory : mfsa2007-15
  • Mozilla Foundation セキュリティアドバイザリ : mfsa2007-15
mpop Mutt Sylpheed ターボリナックス ヒューレット・パッカード ミラクル・リナックス レッドハット
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 認可・権限・アクセス制御(CWE-264) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2007-1558
参考情報

  1. JVN : JVN#19445002
  2. JVN : JVNTA07-151A
  3. JVN Status Tracking Notes : TRTA07-151A
  4. National Vulnerability Database (NVD) : CVE-2007-1558
  5. US-CERT Cyber Security Alerts : SA07-151A
  6. US-CERT Technical Cyber Security Alert : TA07-151A
  7. IPA セキュリティセンター : JVN_19445002
  8. SecurityFocus : 23257
  9. SecurityTracker : 1018008
  10. FrSIRT Advisories : FrSIRT/ADV-2007-1466
  11. FrSIRT Advisories : FrSIRT/ADV-2007-1480
  12. FrSIRT Advisories : FrSIRT/ADV-2007-1468
  13. FrSIRT Advisories : FrSIRT/ADV-2007-1467
  14. IETF : RFC1939:Post Office Protocol - Version 3
更新履歴

[2007年05月15日]
  掲載
[2007年06月01日]
  影響を受けるシステムを更新しました。
  ベンダ情報: レッドハットの情報を追加しました。
[2007年06月06日]
  影響を受けるシステムを更新しました。
  ベンダ情報: Mozilla Foundation の情報を追加しました。
 ベンダ情報: レッドハットの情報を追加しました。
[2007年06月13日]
  影響を受けるシステムを更新しました。
  ベンダ情報: Mutt の情報を追加しました。
  ベンダ情報: レッドハットの情報を追加しました。
[2007年06月27日]
  影響を受けるシステムを更新しました。
  ベンダ情報: ターボリナックスの情報を追加しました。
[2008年01月23日]
  影響を受けるシステム:ヒューレット・パッカード (HPSBUX02156) の情報を追加
  ベンダ情報:ヒューレット・パッカード (HPSBUX02156) を追加
[2009年08月06日]
  影響を受けるシステム:ミラクル・リナックス (ruby-1.8.5-5.7.1AXS3) の情報を追加
  影響を受けるシステム:ミラクル・リナックス (1746) の情報を追加
  影響を受けるシステム:レッドハット (RHSA-2009:1140) の情報を追加
  ベンダ情報:ミラクル・リナックス (ruby-1.8.5-5.7.1AXS3) を追加
  ベンダ情報:ミラクル・リナックス (1746) を追加
  ベンダ情報:レッドハット (RHSA-2009:1140) を追加