■ SPA-PRO Mail ＠Solomonにおけるバッファオーバーフローの脆弱性に対する
　パッチプログラムの補足情報

●リリース日： 2008年4月22日

●影響を受けるソフトウェアとバージョン
SPA-PRO Mail ＠Solomonシリーズ　SPA-POP3Sのバージョン:4.11以前

●概要

SPA-PRO Mail ＠SolomonシリーズのPOP3サービスプログラム（SPA-POP3S）に
重大な脆弱性が発見されました。攻撃者がこの脆弱性を悪用することに成功し
た場合、当該システムが攻撃者によって制御される恐れがあります。対象とな
るソフトウェアをお使いの皆様には、以下の手順によるアップデートを推奨し
ます。

●詳細

この脆弱性は、バージョン4.11以前のSPA-POP3Sサービスプログラムにおいて、
APOP認証を同一セッション内で一定回数繰り返すと、パスワードを取得できて
しまう不具合に関するものです。
この不具合は、APOPによる接続を有効としていないPOPサーバには直接影響しま
せん。しかしながら、SPA-PRO Mail ＠Solomonシリーズ製品に実装している
SMTP認証機能は、APOP認証と共通の「認証ファイル」を使用しているため、
APOP認証を直接使っていない通常のPOP認証の場合でも、SMTP認証を有効にし
ているメールサーバの環境では、パスワードを取得できてしまう恐れがありま
す。
なお、APOP認証を利用していない場合か、あるいはSMTP認証を利用していない
場合は、今回の脆弱性がもたらす直接の影響はありません。

●重要度

イー・ポストは、この問題をクリティカルな案件と分類し、対象ユーザの皆様
が、当該ソフトウェアに対して早急に修正を行うことを推奨します。
特に、POPサービスでAPOP認証を使用している場合、あるいはメールサーバの
環境でSMTP認証を有効にしている場合は、早急にパッチを適用してください。

●解決方法

以下の手順に従ってパッチを適用してください。パッチプログラムは、この脆
弱性に対する対策を施したプログラムです。

　1. 指定場所からzipファイルをダウンロードします。
　2. ダウンロードしたzipファイルを解凍し、spa-pop3s.exe を取り出します。
　3. SPA-PRO Mail＠SolomonのMail Control画面の「サービス制御」タブ画面
　を選択、 SPA-POP3Sの［停止］ボタンをクリックして、サービスプログラム
　を停止します。
　4. SPA-PRO Mail＠Solomonのプログラムインストール先フォルダ（既定で 
　C:\SPA-PRO） に、spa-pop3s.exe を上書きコピーします。
　念のためロールバックできるようにしたいときは、コピーする前に元のファ
　イルを任意のファイル名にリネームしておいてください。
　5. SPA-POP3S の［開始］ボタンをクリックしてサービスプログラムを再開
　します。
　6. Mail Control画面の「バージョン情報」タブ画面を選択、SPA-POP3Sのバ
　ージョンが 4.12 になっているのを確認します。

●免責条項

ソフトウェア使用許諾条件に準拠します。