公開日:2007/03/26 最終更新日:2016/10/13

JVN#86092776
BASP21 においてメールの不正送信が可能な脆弱性

概要

ビーツーワンソフト・インコーポレイテッドが提供する BASP21 は、Windows OS 上で動作するアプリケーションから利用可能な汎用コンポーネントです。この BASP21 のメール送信機能には、メールヘッダなどに相当する引数の値の処理に問題があるため、第三者への不正なメール送信に悪用される脆弱性が存在します。

影響を受けるシステム

  • BASP21 2003.0211 版およびそれ以前に含まれている bsmtp.dll
  • BASP21 Pro バージョン 1,0,702,27 より前のバージョン

詳細情報

想定される影響

BASP21 を利用してメール機能を実装しているウェブアプリケーションが悪用され、遠隔の第三者により、任意の宛先へ不正にメールを送信される可能性があります。

対策方法

ベンダ情報

参考情報

  1. IPA
    「BASP21」においてメールの不正送信が可能な脆弱性

JPCERT/CCからの補足情報

この問題は、修正が不十分であったため JVN#70380788 で再修正されています。

JPCERT/CCによる脆弱性分析結果

2007.03.26における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 ユーザが何もしなくても脆弱性が攻撃される可能性がある
攻撃の難易度 専門知識や運 (条件が揃う確率は中程度) が必要
  • 低 - 中

各項目の詳しい説明

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: インターナショナル・ネットワーク・セキュテリィ株式会社 佐名木 智貴 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2007-1713
JVN iPedia JVNDB-2007-000226

更新履歴

2007/03/26
ビーツーワンソフト・インコーポレイテッドの JVN#86092776への対応が更新されました。
2007/09/20
影響を受けるシステムの記載を更新しました。
2007/09/20
影響を受けるシステムの記載を更新しました。
2016/10/13
JPCERT/CCからの補足情報、関連文書を更新しました。