本日、リスメールチームは本日 RisuMail 1.4.3a-6 をリリースします。
本リリースには SquirrelMail に共通する重要なセキュリティ脆弱性の修正が行われています。
この脆弱性は、SquirrelMail の一部で$_POST 変数を扱う部分において発見されました。これにより、他のユーザの設定の読み込み(恐らく、書き込みも可能)、apache (ウェブユーザ) の書き込み権限のあるファイルの改ざん、そしてクロスサイトスクリプティングが可能になります。
この脆弱性は、一般的に知られている情報セキュリティにおける脆弱性と危険性に共通の名称を与えるリストまたは辞典である Common Vulnerabilities and Exposures [一般脆的な脆弱性及び危険性] (CVE) では CAN-2005-2095 として割り当てられています。
RisuMail 1.4.3a-6 で行われた拡張機能及び改善の一覧は次の通りです。
- フィルタプラグインの登録で「ヘッダ」の時の入力チェックが十分でなかったため、フィルタ実行時にエラーとなっていたのを修正
- 個人情報設定の脆弱性の修正 (CAN-2005-2095)
- ヘッダのエンコードの文字コード指定と実際の文字コードが一致しない場合でも文字化けしないようにした
- Content-Type や charset の指定が無いメールでも表示できるようにした
- メール転送時に添付ファイル名が文字化けすることがあったのを修正
- フィルタプラグインで空文字の設定ができないようにした
- フィルタプラグインで移動先に受信箱を設定できないようにした
- html パートを優先にしている場合 text/plain のパートを表示するときに文字化けしていたのを修正
- 最初のログイン時に設定ファイルにメールアドレスのデフォルト値を設定するようにした
- sqm-144-xss.patch のバグ修正
改善に加えて上記の脆弱性の修正が含まれていることから、RisuMail をお使いの全てのユーザがバージョンアップを行って頂くことを強くお勧めします。。
なお、本バージョンの RisuMail は本日より入手可能で、購入をご検討の企業様などは、ご注文・お問い合わせフォームを利用してリスメールチームまでお問い合わせメールでお問い合わせ頂くか、下記の電話番号にご連絡ください。
メール: info@risumail.jp
電話: 03-5313-9531