お問合わせ

セキュリティ情報(2018年10月03日)

Denbun POP版/Denbun IMAP版 製品における、複数の脆弱性について

対象となる製品及びバージョン

製品名:Denbun POP版、Denbun IMAP版

対象バージョン :
Denbun POP版 :V3.3P R4.0 およびそれ以前
Denbun IMAP版:V3.3I R4.0 およびそれ以前

脆弱性情報

1)認証不備の問題(2件)
2)セッション管理不備の脆弱性
3)バッファオーバーフローの脆弱性(2件)
4)SQL インジェクションの脆弱性
5)クロスサイトスクリプティングの脆弱性
6)任意のファイル実行の脆弱性

想定されるセキュリティ上の影響

想定されるセキュリティ上の影響は、各脆弱性により異なりますが、次のような影響を受ける可能性があります。

・遠隔の第三者によって、メールの閲覧や送信、設定変更などが行われる
・遠隔の第三者によって、管理設定画面にログインされ、メールサーバの設定を変更される
・遠隔の第三者によって、任意のコードを実行されたり、サービス運用妨害 (DoS) 攻撃を受けたりする
・当該製品にログインしているユーザによって、任意のSQL文を実行される
・当該製品にログインしているユーザによって、任意の実行ファイルをアップロードされ実行される
・当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される

※脆弱性情報の1)~3)につきましては、遠隔の第三者は、DenbunサーバーのURLを知る必要があります。
※脆弱性情報の2)につきましては、遠隔の第三者がDenbunサーバーにログインできることが前提となります。
※脆弱性情報の4)と6)につきましては、Denbunにログインして利用しているユーザで且つ、Denbunサーバーにログインできることが前提となります。
※尚、再現手順はセキュリティの観点から、非公開とさせていただきます。

対応策

最新バージョン(V3.3P R5.0、V3.3I R5.0)へアップデートすることで、本脆弱性が解消されます。

  1)Denbun本体を最新バージョン(V3.3P R5.0、V3.3I R5.0)へアップデートしてください
  2)Webサーバーのセキュリティ対策を行ってください
  3)モバイル版を最新バージョン(V3.3PM R5.0、V3.3IM R5.0)へアップデートしてください
  4)ガジェットを最新バージョン(V3.3PG R5.0)へアップデートしてください


  1)Denbun本体を最新バージョン(V3.3P R5.0、V3.3I R5.0)へアップデートしてください
   ご利用中のバージョンによって適用する手順が異なりますので、ご利用中のバージョンをご確認の上、
   最新バージョン(V3.3P R5.0、V3.3I R5.0)への更新をお願い致します。
  
   〇V1.0、V1.1をご利用の場合のアップデート手順
   
    [Denbun POP版]
     V1.1P R1.2までアップデートを行った後に、V3.3P R5.0へアップデートします。
     1.ご利用中のバージョンごとに、V1.1P R1.2まで順次アップデートします。
      ・V1.0P R1.0をお使いの場合
       [V1.0P R1.0->V1.1P R1.2]
       http://denbun.com/ja/pop/download/verup/tov11r10.html

      ・V1.1P R1.0をお使いの場合
       [V1.1P R1.0->V1.1P R1.1] 
       http://denbun.com/ja/pop/download/revup/tov11r11.html
       [V1.1P R1.1->V1.1P R1.2] 
       http://denbun.com/ja/pop/download/revup/tov11r12.html

      ・V1.1P R1.1をお使いの場合
       [V1.1P R1.1->V1.1P R1.2] 
       http://denbun.com/ja/pop/download/revup/tov11r12.html

      ・V1.1P R1.2をお使いの場合は、次項から行います。

     2.V1.1P R1.2からV3.3P R5.0まで順次アップデートします。
       [V1.1P R1.2->V2.0P R4.3]
       http://denbun.com/ja/pop/download/verup/tov20r43.html
       [V2.0P R4.3->V2.0P R6.0]
       http://denbun.com/ja/pop/download/revup/tov20r60.html
       [V2.0P R6.0->V2.0P R6.4]
       http://denbun.com/ja/pop/download/revup/tov20r64.html
       [V2.0P R6.4->V3.0P R1.1]
       http://denbun.com/ja/pop/download/verup/tov30r11.html
       [V3.0P R1.1->V3.1P R2.0]
       http://denbun.com/ja/pop/download/verup/tov31r20.html
       [V3.1P R2.0->V3.3P R5.0]
       http://denbun.com/ja/pop/download/verup/tov33r50.html

    [Denbun IMAP版]
     1.ご利用中のバージョンごとに、V3.3I R5.0まで順次アップデートします。
      ・V1.0I R1.2をお使いの場合
       [V1.0I R1.2->V2.0I R6.4]
       http://denbun.com/ja/imap/download/verup/tov20r64.html
       [V2.0I R6.4->V3.0I R1.1]
       http://denbun.com/ja/imap/download/verup/tov30r11.html
       [V3.0I R1.1->V3.1I R1.0]
       http://denbun.com/ja/imap/download/verup/tov31r10.html
       [V3.1I R1.0->V3.3I R5.0]
       http://denbun.com/ja/imap/download/verup/tov33r50.html

   〇V2.0をご利用の場合
   
    [Denbun POP版]
     V2.0P R6.4までアップデートを行った後に、V3.3P R5.0へアップデートします。
     1.ご利用中のバージョンごとに、V2.0P R6.4まで順次アップデートします。
      ・V2.0P R2.0をお使いの場合
       [V2.0P R2.0->V2.0P R4.1]
       http://denbun.com/ja/pop/download/revup/tov20r41.html
       [V2.0P R4.1->V2.0P R4.3]
       http://denbun.com/ja/pop/download/revup/tov20r43.html
       [V2.0P R4.3->V2.0P R6.0]
       http://denbun.com/ja/pop/download/revup/tov20r60.html
       [V2.0P R6.0->V2.0P R6.4]
       http://denbun.com/ja/pop/download/revup/tov20r64.html

      ・V2.0P R4.1をお使いの場合
       [V2.0P R4.1->V2.0P R4.3]
       http://denbun.com/ja/pop/download/revup/tov20r43.html
       [V2.0P R4.3->V2.0P R6.0]
       http://denbun.com/ja/pop/download/revup/tov20r60.html
       [V2.0P R6.0->V2.0P R6.4]
       http://denbun.com/ja/pop/download/revup/tov20r64.html

      ・V2.0P R4.3をお使いの場合
       [V2.0P R4.3->V2.0P R6.0]
       http://denbun.com/ja/pop/download/revup/tov20r60.html
       [V2.0P R6.0->V2.0P R6.4]
       http://denbun.com/ja/pop/download/revup/tov20r64.html

      ・V2.0P R6.0をお使いの場合
       [V2.0P R6.0->V2.0P R6.4]
       http://denbun.com/ja/pop/download/revup/tov20r64.html

      ・V2.0P R6.4をお使いの場合は、次項から行います。

     2.V2.0P R6.4からV3.3P R5.0まで順次アップデートします。
       [V2.0P R6.4->V3.0P R1.1]
       http://denbun.com/ja/pop/download/verup/tov30r11.html
       [V3.0P R1.1->V3.1P R2.0]
       http://denbun.com/ja/pop/download/verup/tov31r20.html
       [V3.1P R2.0->V3.3P R5.0]
       http://denbun.com/ja/pop/download/verup/tov33r50.html

    [Denbun IMAP版]
     V2.0I R6.4までアップデートを行った後に、V3.3I R5.0へアップデートします。
     1.ご利用中のバージョンごとに、V2.0I R6.4まで順次アップデートします。
      ・V2.0I R2.0をお使いの場合
       [V2.0I R2.0 → V2.0I R2.2]
       http://denbun.com/ja/imap/download/revup/tov20r22.html
       [V2.0I R2.2 → V2.0I R4.1]
       http://denbun.com/ja/imap/download/revup/tov20r41.html
       [V2.0I R4.1 → V2.0I R6.0]
       http://denbun.com/ja/imap/download/revup/tov20r60.html
       [V2.0I R6.0 → V2.0I R6.4]
       http://denbun.com/ja/imap/download/revup/tov20r64.html

      ・V2.0I R2.2をお使いの場合
       [V2.0I R2.2 → V2.0I R4.1]
       http://denbun.com/ja/imap/download/revup/tov20r41.html
       [V2.0I R4.1 → V2.0I R6.0]
       http://denbun.com/ja/imap/download/revup/tov20r60.html
       [V2.0I R6.0 → V2.0I R6.4]
       http://denbun.com/ja/imap/download/revup/tov20r64.html

      ・V2.0I R4.1をお使いの場合
       [V2.0I R4.1 → V2.0I R6.0]
       http://denbun.com/ja/imap/download/revup/tov20r60.html
       [V2.0I R6.0 → V2.0I R6.4]
       http://denbun.com/ja/imap/download/revup/tov20r64.html

      ・V2.0I R6.0をお使いの場合
       [V2.0I R6.0 → V2.0I R6.4]
       http://denbun.com/ja/imap/download/revup/tov20r64.html

      ・V2.0I R6.4をお使いの場合は、次項から行います。

     2.V2.0I R6.4からV3.3I R5.0まで順次アップデートします。
       [V2.0I R6.4->V3.0I R1.1]
       http://denbun.com/ja/imap/download/verup/tov30r11.html
       [V3.0I R1.1->V3.1I R1.0]
       http://denbun.com/ja/imap/download/verup/tov31r10.html
       [V3.1I R1.0->V3.3I R5.0]
       http://denbun.com/ja/imap/download/verup/tov33r50.html

   〇V3.0、V3.1をご利用の場合
   
    [Denbun POP版]
     1.ご利用中のバージョンごとに、V3.3P R5.0まで順次アップデートします。
      ・V3.0P R1.0をお使いの場合
       [V3.0P R1.0->V3.0P R1.1]
       http://denbun.com/ja/pop/download/revup/tov30r11.html
       [V3.0P R1.1->V3.1P R2.0]
       http://denbun.com/ja/pop/download/verup/tov31r20.html
       [V3.1P R2.0->V3.3P R5.0]
       http://denbun.com/ja/pop/download/verup/tov33r50.html

      ・V3.0P R1.1をお使いの場合
       [V3.0P R1.1->V3.1P R2.0]
       http://denbun.com/ja/pop/download/verup/tov31r20.html
       [V3.1P R2.0->V3.3P R5.0]
       http://denbun.com/ja/pop/download/verup/tov33r50.html

      ・V3.1P R1.0をお使いの場合
       [V3.1P R1.0->V3.1P R2.0]
       http://denbun.com/ja/pop/download/revup/tov31r20.html
       [V3.1P R2.0->V3.3P R5.0]
       http://denbun.com/ja/pop/download/verup/tov33r50.html

      ・V3.1P R2.0をお使いの場合
       [V3.1P R2.0->V3.3P R5.0]
       http://denbun.com/ja/pop/download/verup/tov33r50.html

    [Denbun IMAP版]
     1.ご利用中のバージョンごとに、V3.3I R5.0まで順次アップデートします。
      ・V3.0I R1.0をお使いの場合
       [V3.0I R1.0->V3.0I R1.1]
       http://denbun.com/ja/imap/download/revup/tov30r11.html
       [V3.0I R1.1->V3.1I R1.0]
       http://denbun.com/ja/imap/download/verup/tov31r10.html
       [V3.1I R1.0->V3.3I R5.0]
       http://denbun.com/ja/imap/download/verup/tov33r50.html

      ・V3.0I R1.1をお使いの場合
       [V3.0I R1.1->V3.1I R1.0]
       http://denbun.com/ja/imap/download/verup/tov31r10.html
       [V3.1I R1.0->V3.3I R5.0]
       http://denbun.com/ja/imap/download/verup/tov33r50.html

      ・V3.1I R1.0をお使いの場合
       [V3.1I R1.0->V3.3I R5.0]
       http://denbun.com/ja/imap/download/verup/tov33r50.html

   〇V3.3をご利用の場合
   
    [Denbun POP版]
     ・ご利用のリビジョンにより、
      上位のリビジョン(V3.3P R1.0->R1.2->R1.3->R2.0->R2.1->R2.2->R2.3->R3.0->R4.0->R5.0)と順次アップデートします。

      http://denbun.com/ja/pop/download/update.html

    [Denbun IMAP版]
     ・ご利用のリビジョンにより、
      上位のリビジョン(V3.3I R1.0->R1.2->R1.3->R2.1->R2.2->R2.3->R3.0->R4.0->R5.0)と順次アップデートします。

      http://denbun.com/ja/imap/download/update.html

  2)Webサーバーのセキュリティ対策を行ってください
    ご利用のWebサーバーごとに対策を行ってください。
  
    [Denbun POP版]
    Apacheのセキュリティ対策(Linux)
    http://denbun.com/ja/help/helppop/systemadmin/setting_linux_apache.html
    Apacheのセキュリティ対策(Windows)
    http://denbun.com/ja/help/helppop/systemadmin/setting_win_apache.html
    IISのセキュリティ対策(Windows)
    http://denbun.com/ja/help/helppop/systemadmin/setting_win_iis.html

    [Denbun IMAP版]
    Apacheのセキュリティ対策(Linux)
    http://www.denbun.com/ja/help/helpimap/systemadmin/setting_linux_apache.html
    Apacheのセキュリティ対策(Windows)
    http://www.denbun.com/ja/help/helpimap/systemadmin/setting_win_apache.html
    IISのセキュリティ対策(Windows)
    http://www.denbun.com/ja/help/helpimap/systemadmin/setting_win_iis.html
    
  3)モバイル版を最新バージョン(V3.3PM R5.0、V3.3IM R5.0)へアップデートしてください
    Linux環境でモバイル版をご利用の場合には、アンインストール後、最新バージョン(V3.3PM R5.0、V3.3IM R5.0)をインストールしてください。
    Windows環境でモバイル版をご利用の場合には、本体版と一緒にアップデートされますので再インストールは必要ありません。

    [Denbun POP版]
    http://denbun.com/ja/pop/download/linux.html
   
    [Denbun IMAP版]
    http://denbun.com/ja/imap/download/redhat9.html
   
  4)ガジェットを最新バージョン(V3.3PG R5.0)へアップデートしてください
    Denbun POP版でガジェットをご利用の場合には、ご利用環境に関係なく、アンインストール後、最新バージョン(V3.3PG R5.0)をインストールしてください。
    
    [Denbun POP版]
    http://denbun.com/ja/pop/download/linux.html

回避策

1)認証不備の問題
2)セッション管理不備の脆弱性
3)バッファオーバーフローの脆弱性
4)SQL インジェクションの脆弱性
についての回避策はございません。
セキュリティ修正パッチを適用することで解消されます。

5)クロスサイトスクリプティングの脆弱性
管理者設定-共通設定の【HTMLメール表示方法】にて
「添付ファイルとして表示する」に設定変更することで回避できます。

関連情報

Denbun における複数の脆弱性について
https://jvn.jp/jp/JVN00344155/

更新履歴

2018.10.03  この脆弱性情報ページを公開しました。
2018.10.04  関連情報を追記しました。

本件に関するお問い合わせ

株式会社ネオジャパン プロダクト事業本部
E-mail:denbun@denbun.com

 

以上となります。
この度は、ご迷惑・ご心配をお掛けし、誠に申し訳ありません。
製品品質の維持・向上に、より一層努力してまいりますので、今後とも何卒宜しくお願い致します。