Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

fetchmailにおける任意のSSLサーバになりすまされる脆弱性

掲載番号:NV10-006
脆弱性情報識別番号:CVE-2009-2666

概要

fetchmailのsocket.cには、X.509証明書のCommon Name (CN)内のドメイン名にある '\0' 文字を適切に処理しない脆弱性が存在します。
細工された証明書により、任意のSSLサーバになりすまされる可能性があります。

対象製品

CSVIEW

影響の有無

影響あり

対象となる製品のバージョン

CSVIEW/WebアンケートV2,V4,V5

対処方法

CSVIEW/WebアンケートV2,V4,V5において、 顧客情報管理機能を用いて送信したメールのエラーメール受信にSSL通信設定を行ったfetchmailを使用している場合に、 SSL証明書のコモンネームの処理に中間者攻撃を受ける脆弱性があります。

fetchmailのバージョンが6.3.11未満の場合、下記のRed Hat社のサイトから提供されているセキュリティパッチを適用し、 6.3.11以上にバージョンアップする必要があります。
RHSA-2009:1427-1 fetchmailのセキュリティアップデート

参考情報

JVN iPedia JVNDB-2009-002095:
fetchmail における任意の SSL サーバになりすまされる脆弱性

CVE
CVE-2009-2666

更新情報

2010/11/26
CSVIEWを登録しました。