Webメールアプリ「SquirrelMail」に2件の脆弱性が発見……JVNで公表

エンタープライズセキュリティ

注目記事

2011.1.7（金）13:15

　IPA（情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）は7日、Webメールアプリ「SquirrelMail」に2件の脆弱性が存在することを、JVN（Japan Vulnerability Notes）において公表した。

　「SquirrelMail」（スクイレルメール）は、SquirrelMail Projectが提供している、ウェブメールクライアントアプリ。PHPで実装されており、設置が容易なため、広く使用されている。今回の発表によると、SquirrelMail 1.4.0から1.4.9aまでに、特定の文字コードや「data:」URLの処理に問題があり、クロスサイトスクリプティングの脆弱性が存在するという。また、SquirrelMail 1.4.19およびそれ以前に、メッセージ送信や設定変更に関する処理に問題があり、クロスサイトリクエストフォージェリの脆弱性が存在するという。

　クロスサイトスクリプティングの脆弱性はSquirrelMail 1.4.10で、クロスサイトリクエストフォージェリの脆弱性は、SquirrelMail 1.4.20で対策済みとのこと。最新版へアップデートすることで問題は解決される。なお、これらの脆弱性情報は、2006年4月24日および2006年10月27日にIPAが届出を受け、JPCERT/CCが、製品開発者と調整を行い、本日公表したものとなる。

　ちなみに、「クロスサイトスクリプティング」（XSS）とは、その都度HTMLを生成するページを狙い、入力にスクリプトを埋め込むなどの手法で、予期しない動作を起こさせる脆弱性。「クロスサイトリクエストフォージェリ（CSRF）」とは、Webサイトにスクリプトを仕込むことで、勝手に別のWebサイトに書き込みなどを行わせてしまうような動作を起こさせる脆弱性などを、一般には指している。

《冨岡晶》