vuln.sg Vulnerability Research Advisory

E-POST Mail Server APOP パスワード漏えいの脆弱性 by Tan Chew Keong　タン　チュー　ケオン Release Date: 2008-04-27    [en] [jp] 概要 E-POST Mail Server の POP3 サーバーには、パスワード漏えいの脆弱性が存在します。悪意のある人は、この脆弱性を利用しメールユーザー の POP3/APOP パスワードを取ることができます。 問題を確認したバージョン E-Post Mail Server Standard Version 4.10 with EPSTPOP3S.EXE 4.22 問題 E-POST Mail Server の POP3 サーバーには、パスワード漏えいの脆弱性が存在します。悪意のある人は、この脆弱性を利用しメールユーザー の POP3/APOP パスワードを取ることができます。 遠隔の攻撃者が E-POST Mail Server の POP3 サーバーにいくつか悪意のある APOP コマンドを送ったら、POP3 サーバーはメールユーザー の POP3 パスワードを見せさせられました。この脆弱性が、E-Post Mail Server の EPSTPOP3S.EXE バージョン 4.22 で存在します。 下記の画面は、パスワード漏えいの脆弱性を示す。POP3 サーバーは遠隔の攻撃者に testuser1 ユーザーの topsecret123 パスワードを見せました。 脆弱性のテスト 脆弱性のテスト方法はベンダーに送りました。 対策 EPSTPOP3S.EXE Version 4.23 へのバージョンアップをしてください。修正版のダ ウンロード。ベンダーに公開される脆弱性の情報はこ ちらです。 発見と報告の経緯 2008年04月17日　-　脆弱性の発見。 2008年04月17日　-　ベンダーに報告しました。 2008年04月18日　-　ベンダーから答えを受け取りました。 2008年04月18日　-　ベンダーに脆弱性のテスト方法を送りました。 2008年04月22日　-　ベンダーは脆弱性を公開しました。 2008年04月22日　-　ベンダーのウェブサイトから新しいインストール一ファイルをダウンロードして、テストして、脆弱性の修正の確証を得た。新し いインストール一ファイルの　EPSTPOP3S.EXE　は、バージョン 4.23　になりました。 2008年04月27日　-　本脆弱性の公開。

Contact

For further enquries, comments, suggestions or bug reports, simply email them to