公開日:2007/03/26 最終更新日:2016/10/13
JVN#86092776
BASP21 においてメールの不正送信が可能な脆弱性
ビーツーワンソフト・インコーポレイテッドが提供する BASP21 は、Windows OS 上で動作するアプリケーションから利用可能な汎用コンポーネントです。この BASP21 のメール送信機能には、メールヘッダなどに相当する引数の値の処理に問題があるため、第三者への不正なメール送信に悪用される脆弱性が存在します。
- BASP21 2003.0211 版およびそれ以前に含まれている bsmtp.dll
- BASP21 Pro バージョン 1,0,702,27 より前のバージョン
BASP21 を利用してメール機能を実装しているウェブアプリケーションが悪用され、遠隔の第三者により、任意の宛先へ不正にメールを送信される可能性があります。
-
IPA
「BASP21」においてメールの不正送信が可能な脆弱性
この問題は、修正が不十分であったため JVN#70380788 で再修正されています。
2007.03.26における脆弱性分析結果
評価尺度 | 攻撃成立条件 | 評価値 |
---|---|---|
攻撃経路 | インターネット経由からの攻撃が可能 |
|
認証レベル | 匿名もしくは認証なしで攻撃が可能 |
|
攻撃成立に必要なユーザーの関与 | ユーザが何もしなくても脆弱性が攻撃される可能性がある |
|
攻撃の難易度 | 専門知識や運 (条件が揃う確率は中程度) が必要 |
|
本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: インターナショナル・ネットワーク・セキュテリィ株式会社 佐名木 智貴 氏
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2007-1713 |
JVN iPedia |
JVNDB-2007-000226 |
- 2007/03/26
- ビーツーワンソフト・インコーポレイテッドの JVN#86092776への対応が更新されました。
- 2007/09/20
- 影響を受けるシステムの記載を更新しました。
- 2007/09/20
- 影響を受けるシステムの記載を更新しました。
- 2016/10/13
- JPCERT/CCからの補足情報、関連文書を更新しました。