【活用ガイド】

JVNDB-2012-005130

複数の DomainKeys Identified Mail (DKIM) 実装に問題

概要

複数の DomainKeys Identified Mail (DKIM) 実装において、テストモードが指定されているメッセージの扱いが仕様に反している例が報告されました。

DKIM 仕様では、DKIM ヘッダフィールドでテストモードの指定を行うことができます。
複数の DKIM 実装において、テストモードが指定されているメッセージの扱いが仕様に反している例が報告されました。

また、実運用環境において、1024ビット未満の RSA 鍵で DKIM 署名を行っている例も報告されています。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 4.6 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 複数
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
影響を受けるシステム


(複数のベンダ)
  • (複数の製品)

DKIM を実装している環境が影響を受ける可能性があります。
想定される影響

テストモードが指定されている DKIM 署名メールが、通常の DKIM 署名メールと同様に扱われる可能性があります。
対策

[サーバの設定を変更する]
システム管理者は、実運用環境で DKIM のテストモードが使用できないように設定してください。

また、DKIM 署名を行う際は、1024ビット以上の RSA 鍵を使用してください。
ベンダ情報

CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

参考情報

  1. JVN : JVNVU#268267
  2. JPCERT REPORT : JPCERT-WR-2012-4201
  3. US-CERT Vulnerability Note : VU#268267
  4. 関連文書 : 米US-CERTのDKIM信頼性に関する報告について
更新履歴

  • [2012年10月26日]
      掲載
    [2013年01月24日]
      CVSS による深刻度:基本値と脆弱性評価基準を追加

公表日2012/10/25
登録日2012/10/26
最終更新日2012/10/26