- 2016年1月15日
- その他脆弱性情報
無料で使えるメール配信CGI「acmailer」に脆弱性
JVNは、株式会社シーズが提供する無料で使えるメール配信CGI「acmailer」に脆弱性が存在すると公開した。
脆弱性概要
「acmailer」にはOS コマンドインジェクションの脆弱性が存在します。
想定被害
当該製品にログインできるユーザーに、サーバの権限で任意の OS コマンドを実行される可能性がある。
発見されたシステム・バージョン
- acmailer 3.8.21 正式版より前のバージョン
- acmailer 3.9.15β 開発版より前のバージョン
対応方法
開発者が提供する最新版(acmailer3.8.21正式版とacmailer3.9.15β)へアップデートする。
(ベンダー情報「acmailer3.8.21正式版とacmailer3.9.15β開発版をリリース」)
同社によると、アップデート方法は以下の通り。
①バックアップを取得する
↓
②acmailerをアンインストール
↓
③新バージョンのacmailerをインストール
↓
④バックアップしておいたデータをリストアする
【acmailer】はサーバーに設置するCGIタイプで、しかも無料ということでメルマガ配信したい方などに人気です。
今回発見された「OS コマンドインジェクション」とは
「攻撃者がOSコマンド(OS[基本ソフトウェア]を操作するための命令)を不正に埋め込んだ要求をすることにより、OSを不正に操作される問題」のことです。
これを受けた場合、ウェブサイトのデータ改ざんが情報漏えいなどの被害を受け、最悪の場合、WEBサイト乗っ取りから、そこからさらに別のサイト等を攻撃することによる、2次被害を引き起こす加害者となってしまう恐れがあります。
「踏み台にされている」などと聞いた場合このような脆弱性を悪用されているケースも考えられますね。
上記のとおり、アップデートには少し手間がかかりますが、セキュリティ上、ご利用の方は対応されることを推奨します