公開日:2011/05/19 最終更新日:2011/05/19

JVNVU#240150
SmarterTools 製ウェブサーバに複数の脆弱性

概要

SmarterTools 製のアプリケーションによりインストールされるウェブサーバには、複数の脆弱性が存在します。

影響を受けるシステム

  • 複数の SmarterTools 製アプリケーションによりインストールされるウェブサーバ
詳しくは US-CERT Vulnerability Note VU#240150 が提供する情報をご確認ください。

詳細情報

複数の SmarterTools 製アプリケーションには、標準でインストールされるウェブサーバがあります。このウェブサーバには、XML インジェクションや OS コマンドインジェクション、LDAP インジェクション、ディレクトリトラバーサル、サービス運用妨害 (DoS) などの脆弱性が存在します。

想定される影響

遠隔の第三者により、任意のコマンドを実行されたり、任意のファイルをダウンロードされたりするなどの可能性があります。

対策方法

標準でインストールされるウェブサーバを使用しない
開発者によると、運用では Microsoft Internet Information Services (IIS) を使用することを推奨しています。

詳しくは開発者の提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
SmarterTools Inc. Set up SmarterMail as a Site in IIS 7.0
Set up SmarterMail as an IIS Site (IIS 6.0)
Knowledge Base

参考情報

  1. US-CERT Vulnerability Note VU#240150
    SmarterTools default basic web server vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia