セキュリティ情報(2018年10月03日)
Denbun POP版/Denbun IMAP版 製品における、複数の脆弱性について
対象となる製品及びバージョン
製品名:Denbun POP版、Denbun IMAP版
対象バージョン :
Denbun POP版 :V3.3P R4.0 およびそれ以前
Denbun IMAP版:V3.3I R4.0 およびそれ以前
脆弱性情報
1)認証不備の問題(2件)
2)セッション管理不備の脆弱性
3)バッファオーバーフローの脆弱性(2件)
4)SQL インジェクションの脆弱性
5)クロスサイトスクリプティングの脆弱性
6)任意のファイル実行の脆弱性
想定されるセキュリティ上の影響
想定されるセキュリティ上の影響は、各脆弱性により異なりますが、次のような影響を受ける可能性があります。
・遠隔の第三者によって、メールの閲覧や送信、設定変更などが行われる
・遠隔の第三者によって、管理設定画面にログインされ、メールサーバの設定を変更される
・遠隔の第三者によって、任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする
・当該製品にログインしているユーザによって、任意のSQL文を実行される
・当該製品にログインしているユーザによって、任意の実行ファイルをアップロードされ実行される
・当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される
※脆弱性情報の1)~3)につきましては、遠隔の第三者は、DenbunサーバーのURLを知る必要があります。
※脆弱性情報の2)につきましては、遠隔の第三者がDenbunサーバーにログインできることが前提となります。
※脆弱性情報の4)と6)につきましては、Denbunにログインして利用しているユーザで且つ、Denbunサーバーにログインできることが前提となります。
※尚、再現手順はセキュリティの観点から、非公開とさせていただきます。
対応策
最新バージョン(V3.3P R5.0、V3.3I R5.0)へアップデートすることで、本脆弱性が解消されます。
1)Denbun本体を最新バージョン(V3.3P R5.0、V3.3I R5.0)へアップデートしてください 2)Webサーバーのセキュリティ対策を行ってください 3)モバイル版を最新バージョン(V3.3PM R5.0、V3.3IM R5.0)へアップデートしてください 4)ガジェットを最新バージョン(V3.3PG R5.0)へアップデートしてください 1)Denbun本体を最新バージョン(V3.3P R5.0、V3.3I R5.0)へアップデートしてください ご利用中のバージョンによって適用する手順が異なりますので、ご利用中のバージョンをご確認の上、 最新バージョン(V3.3P R5.0、V3.3I R5.0)への更新をお願い致します。 〇V1.0、V1.1をご利用の場合のアップデート手順 [Denbun POP版] V1.1P R1.2までアップデートを行った後に、V3.3P R5.0へアップデートします。 1.ご利用中のバージョンごとに、V1.1P R1.2まで順次アップデートします。 ・V1.0P R1.0をお使いの場合 [V1.0P R1.0->V1.1P R1.2] http://denbun.com/ja/pop/download/verup/tov11r10.html ・V1.1P R1.0をお使いの場合 [V1.1P R1.0->V1.1P R1.1] http://denbun.com/ja/pop/download/revup/tov11r11.html [V1.1P R1.1->V1.1P R1.2] http://denbun.com/ja/pop/download/revup/tov11r12.html ・V1.1P R1.1をお使いの場合 [V1.1P R1.1->V1.1P R1.2] http://denbun.com/ja/pop/download/revup/tov11r12.html ・V1.1P R1.2をお使いの場合は、次項から行います。 2.V1.1P R1.2からV3.3P R5.0まで順次アップデートします。 [V1.1P R1.2->V2.0P R4.3] http://denbun.com/ja/pop/download/verup/tov20r43.html [V2.0P R4.3->V2.0P R6.0] http://denbun.com/ja/pop/download/revup/tov20r60.html [V2.0P R6.0->V2.0P R6.4] http://denbun.com/ja/pop/download/revup/tov20r64.html [V2.0P R6.4->V3.0P R1.1] http://denbun.com/ja/pop/download/verup/tov30r11.html [V3.0P R1.1->V3.1P R2.0] http://denbun.com/ja/pop/download/verup/tov31r20.html [V3.1P R2.0->V3.3P R5.0] http://denbun.com/ja/pop/download/verup/tov33r50.html [Denbun IMAP版] 1.ご利用中のバージョンごとに、V3.3I R5.0まで順次アップデートします。 ・V1.0I R1.2をお使いの場合 [V1.0I R1.2->V2.0I R6.4] http://denbun.com/ja/imap/download/verup/tov20r64.html [V2.0I R6.4->V3.0I R1.1] http://denbun.com/ja/imap/download/verup/tov30r11.html [V3.0I R1.1->V3.1I R1.0] http://denbun.com/ja/imap/download/verup/tov31r10.html [V3.1I R1.0->V3.3I R5.0] http://denbun.com/ja/imap/download/verup/tov33r50.html 〇V2.0をご利用の場合 [Denbun POP版] V2.0P R6.4までアップデートを行った後に、V3.3P R5.0へアップデートします。 1.ご利用中のバージョンごとに、V2.0P R6.4まで順次アップデートします。 ・V2.0P R2.0をお使いの場合 [V2.0P R2.0->V2.0P R4.1] http://denbun.com/ja/pop/download/revup/tov20r41.html [V2.0P R4.1->V2.0P R4.3] http://denbun.com/ja/pop/download/revup/tov20r43.html [V2.0P R4.3->V2.0P R6.0] http://denbun.com/ja/pop/download/revup/tov20r60.html [V2.0P R6.0->V2.0P R6.4] http://denbun.com/ja/pop/download/revup/tov20r64.html ・V2.0P R4.1をお使いの場合 [V2.0P R4.1->V2.0P R4.3] http://denbun.com/ja/pop/download/revup/tov20r43.html [V2.0P R4.3->V2.0P R6.0] http://denbun.com/ja/pop/download/revup/tov20r60.html [V2.0P R6.0->V2.0P R6.4] http://denbun.com/ja/pop/download/revup/tov20r64.html ・V2.0P R4.3をお使いの場合 [V2.0P R4.3->V2.0P R6.0] http://denbun.com/ja/pop/download/revup/tov20r60.html [V2.0P R6.0->V2.0P R6.4] http://denbun.com/ja/pop/download/revup/tov20r64.html ・V2.0P R6.0をお使いの場合 [V2.0P R6.0->V2.0P R6.4] http://denbun.com/ja/pop/download/revup/tov20r64.html ・V2.0P R6.4をお使いの場合は、次項から行います。 2.V2.0P R6.4からV3.3P R5.0まで順次アップデートします。 [V2.0P R6.4->V3.0P R1.1] http://denbun.com/ja/pop/download/verup/tov30r11.html [V3.0P R1.1->V3.1P R2.0] http://denbun.com/ja/pop/download/verup/tov31r20.html [V3.1P R2.0->V3.3P R5.0] http://denbun.com/ja/pop/download/verup/tov33r50.html [Denbun IMAP版] V2.0I R6.4までアップデートを行った後に、V3.3I R5.0へアップデートします。 1.ご利用中のバージョンごとに、V2.0I R6.4まで順次アップデートします。 ・V2.0I R2.0をお使いの場合 [V2.0I R2.0 → V2.0I R2.2] http://denbun.com/ja/imap/download/revup/tov20r22.html [V2.0I R2.2 → V2.0I R4.1] http://denbun.com/ja/imap/download/revup/tov20r41.html [V2.0I R4.1 → V2.0I R6.0] http://denbun.com/ja/imap/download/revup/tov20r60.html [V2.0I R6.0 → V2.0I R6.4] http://denbun.com/ja/imap/download/revup/tov20r64.html ・V2.0I R2.2をお使いの場合 [V2.0I R2.2 → V2.0I R4.1] http://denbun.com/ja/imap/download/revup/tov20r41.html [V2.0I R4.1 → V2.0I R6.0] http://denbun.com/ja/imap/download/revup/tov20r60.html [V2.0I R6.0 → V2.0I R6.4] http://denbun.com/ja/imap/download/revup/tov20r64.html ・V2.0I R4.1をお使いの場合 [V2.0I R4.1 → V2.0I R6.0] http://denbun.com/ja/imap/download/revup/tov20r60.html [V2.0I R6.0 → V2.0I R6.4] http://denbun.com/ja/imap/download/revup/tov20r64.html ・V2.0I R6.0をお使いの場合 [V2.0I R6.0 → V2.0I R6.4] http://denbun.com/ja/imap/download/revup/tov20r64.html ・V2.0I R6.4をお使いの場合は、次項から行います。 2.V2.0I R6.4からV3.3I R5.0まで順次アップデートします。 [V2.0I R6.4->V3.0I R1.1] http://denbun.com/ja/imap/download/verup/tov30r11.html [V3.0I R1.1->V3.1I R1.0] http://denbun.com/ja/imap/download/verup/tov31r10.html [V3.1I R1.0->V3.3I R5.0] http://denbun.com/ja/imap/download/verup/tov33r50.html 〇V3.0、V3.1をご利用の場合 [Denbun POP版] 1.ご利用中のバージョンごとに、V3.3P R5.0まで順次アップデートします。 ・V3.0P R1.0をお使いの場合 [V3.0P R1.0->V3.0P R1.1] http://denbun.com/ja/pop/download/revup/tov30r11.html [V3.0P R1.1->V3.1P R2.0] http://denbun.com/ja/pop/download/verup/tov31r20.html [V3.1P R2.0->V3.3P R5.0] http://denbun.com/ja/pop/download/verup/tov33r50.html ・V3.0P R1.1をお使いの場合 [V3.0P R1.1->V3.1P R2.0] http://denbun.com/ja/pop/download/verup/tov31r20.html [V3.1P R2.0->V3.3P R5.0] http://denbun.com/ja/pop/download/verup/tov33r50.html ・V3.1P R1.0をお使いの場合 [V3.1P R1.0->V3.1P R2.0] http://denbun.com/ja/pop/download/revup/tov31r20.html [V3.1P R2.0->V3.3P R5.0] http://denbun.com/ja/pop/download/verup/tov33r50.html ・V3.1P R2.0をお使いの場合 [V3.1P R2.0->V3.3P R5.0] http://denbun.com/ja/pop/download/verup/tov33r50.html [Denbun IMAP版] 1.ご利用中のバージョンごとに、V3.3I R5.0まで順次アップデートします。 ・V3.0I R1.0をお使いの場合 [V3.0I R1.0->V3.0I R1.1] http://denbun.com/ja/imap/download/revup/tov30r11.html [V3.0I R1.1->V3.1I R1.0] http://denbun.com/ja/imap/download/verup/tov31r10.html [V3.1I R1.0->V3.3I R5.0] http://denbun.com/ja/imap/download/verup/tov33r50.html ・V3.0I R1.1をお使いの場合 [V3.0I R1.1->V3.1I R1.0] http://denbun.com/ja/imap/download/verup/tov31r10.html [V3.1I R1.0->V3.3I R5.0] http://denbun.com/ja/imap/download/verup/tov33r50.html ・V3.1I R1.0をお使いの場合 [V3.1I R1.0->V3.3I R5.0] http://denbun.com/ja/imap/download/verup/tov33r50.html 〇V3.3をご利用の場合 [Denbun POP版] ・ご利用のリビジョンにより、 上位のリビジョン(V3.3P R1.0->R1.2->R1.3->R2.0->R2.1->R2.2->R2.3->R3.0->R4.0->R5.0)と順次アップデートします。 http://denbun.com/ja/pop/download/update.html [Denbun IMAP版] ・ご利用のリビジョンにより、 上位のリビジョン(V3.3I R1.0->R1.2->R1.3->R2.1->R2.2->R2.3->R3.0->R4.0->R5.0)と順次アップデートします。 http://denbun.com/ja/imap/download/update.html 2)Webサーバーのセキュリティ対策を行ってください ご利用のWebサーバーごとに対策を行ってください。 [Denbun POP版] Apacheのセキュリティ対策(Linux) http://denbun.com/ja/help/helppop/systemadmin/setting_linux_apache.html Apacheのセキュリティ対策(Windows) http://denbun.com/ja/help/helppop/systemadmin/setting_win_apache.html IISのセキュリティ対策(Windows) http://denbun.com/ja/help/helppop/systemadmin/setting_win_iis.html [Denbun IMAP版] Apacheのセキュリティ対策(Linux) http://www.denbun.com/ja/help/helpimap/systemadmin/setting_linux_apache.html Apacheのセキュリティ対策(Windows) http://www.denbun.com/ja/help/helpimap/systemadmin/setting_win_apache.html IISのセキュリティ対策(Windows) http://www.denbun.com/ja/help/helpimap/systemadmin/setting_win_iis.html 3)モバイル版を最新バージョン(V3.3PM R5.0、V3.3IM R5.0)へアップデートしてください Linux環境でモバイル版をご利用の場合には、アンインストール後、最新バージョン(V3.3PM R5.0、V3.3IM R5.0)をインストールしてください。 Windows環境でモバイル版をご利用の場合には、本体版と一緒にアップデートされますので再インストールは必要ありません。 [Denbun POP版] http://denbun.com/ja/pop/download/linux.html [Denbun IMAP版] http://denbun.com/ja/imap/download/redhat9.html 4)ガジェットを最新バージョン(V3.3PG R5.0)へアップデートしてください Denbun POP版でガジェットをご利用の場合には、ご利用環境に関係なく、アンインストール後、最新バージョン(V3.3PG R5.0)をインストールしてください。 [Denbun POP版] http://denbun.com/ja/pop/download/linux.html
回避策
1)認証不備の問題
2)セッション管理不備の脆弱性
3)バッファオーバーフローの脆弱性
4)SQL インジェクションの脆弱性
についての回避策はございません。
セキュリティ修正パッチを適用することで解消されます。
5)クロスサイトスクリプティングの脆弱性
管理者設定-共通設定の【HTMLメール表示方法】にて
「添付ファイルとして表示する」に設定変更することで回避できます。
関連情報
Denbun における複数の脆弱性について
https://jvn.jp/jp/JVN00344155/
更新履歴
2018.10.03 この脆弱性情報ページを公開しました。
2018.10.04 関連情報を追記しました。
本件に関するお問い合わせ
株式会社ネオジャパン プロダクト事業本部
E-mail:denbun@denbun.com
以上となります。
この度は、ご迷惑・ご心配をお掛けし、誠に申し訳ありません。
製品品質の維持・向上に、より一層努力してまいりますので、今後とも何卒宜しくお願い致します。
グループウェアはdesknet's NEO