Squirrelmail Remote Code Execution (CVE-2017-7692) について

2017年4月25日(火曜日)

弊社製品ご利用中のお客様各位、

RisuMail にも該当する SquirrelMail の脆弱性が公表されましたのでご連絡致します。

本脆弱性は SquirrelMail 1.4.22 またはそれ以前のバージョンで確認されており、弊社で詳しく調査をしたところ、RisuMail においても同様の脆弱性を確認致しました。

本脆弱性が悪用されるには、MTA は Sendmail であってかつ RisuMail は config ファイルで sendmail をコマンドラインで実行する設定になっている(すなわち /etc/risumail/config.php では $useSendmail は true になっている)という条件が満たされる必要があります。

上記の内容が基本的な条件になりますので、弊社が推奨している Postfix ではこの脆弱性は該当致しません。

脆弱性は Deliver_SendMail.class.php のファイルにあり、Sendmail を使用しているお客様向けに次のリリース用の修正パッチ及び修正済みファイルをご用意しました。

RisuMail 3.0
RisuMail 3.1
RisuMail 3.2

契約中のお客様は、弊社 RisuMail 製品ダウンロードサイトより修正パッチ及び修正済みファイルを入手頂くことが可能です。

この脆弱性により RisuMail が稼働しているウェブサーバのユーザ(RHEL 及び CentOS では通常 httpd の apache ユーザ)の権限で遠隔にてコマンドを実行することが可能になりますので、Sendmail をご使用のお客様にとっては重要度の高い修正になります。Proof of Concept(悪用するための手順及びコード例、PoC)まで公表されているため、至急対応する必要があります。

本脆弱性の詳細は次の URL にて確認できます。

CVE-2017-7692: Squirrelmail 1.4.22 Remote Code Execution
http://seclists.org/oss-sec/2017/q2/96
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7692

ご質問などはリスメールサポートまでご連絡くださいますようお願い致します。