メールシステム「Horde」に第三者が受信箱全体をダウンロードできるバグ

セキュリティ専門家はオープンソースのメールシステムのHorde(ホード)に重大な脆弱性があることを以前から知っていた。悪意あるハッカーは極めて容易にユーザーの受信箱全体をダウンロードすることができる。

Hordeは人気のオープンソースのメールシステムだ。開発とメンテナンスはHordコミュニティのデベロッパーとメンバーが担当している。利用が無料であることもあって、大学、図書館など多くの組織で標準メールシステムとして利用されている。

しかしセキュリティ専門家のNuman Ozdemir(ヌマン・オズデミール)氏はさる5月に深刻な脆弱性がHordeにあることを指摘した。その1つはCSRFR(クロス・サイト・リクエスト・フォージェリー)を利用したもので、悪意あるサイトへのリンクを含むメールを送りつけ、受信者がそのURLをクリックすると、受信者が気づかないうちに受信箱内のコンテンツがすべて悪意あるサイトにコピーされてしまうというものだ。

指摘に対してHorde側からはなんの回答もなかった。セキュリティ専門家は脆弱性を発見した後、修正のために3カ月待ってから、脆弱性情報を公開するのが一般的だ。

米国政府の組織でソフトウェアの脆弱性データベースを運営するNISTはこの脆弱性のリスクを高度と認定している。

オズデミール氏によれば、最新版のHordeウェブメールではいくつかは修正されたが、依然として脆弱性が残っているという。しかし Hordeコミュニティはあいかわらず脆弱性の存在を公に認めていない。そのため旧バージョンを依然として使い続けているユーザーはすべての脆弱性にさらされたままだ。

TechCrunchの取材に対し、オズデミール氏は「Hordeのメールを盗むのはバカバカしいほど簡単だ」と述べた。Horde自身のバグレポートを読むと、Hordeは現在も脆弱性を抱えていることがわかる。TechchCrunchはHordeに数回メールしたが記事公開までに回答がなかった。Hordeのデベロッパーの中心、Jan Schneider(ジャン・シュナイダー)氏は脆弱性について「修正されたものもあり、されていないものもある。記事公開の時点で存在していなかったものもある」と述べた。

画像:Getty Images

【Japan編集部追記】上記Hordeサイトによれば、XSS + CSRF to SQLi、RCE、Stealing Emailsについてのバグレポートが5月17日が報告されており、優先度3のHighに分類されているがパッチは現在のところ提供されていない。CSFRについての解説はこちら

原文へ

(翻訳:滑川海彦@Facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。