■E-Post Mail Serverにおけるバッファオーバーフローの脆弱性に対する
 パッチプログラムの補足情報

●リリース日: 2008年4月22日

●影響を受けるソフトウェアとバージョン
E-Post Mail Serverシリーズ EPSTPOP3Sのバージョン:4.22以前

●概要

E-Post Mail ServerシリーズのPOP3サービスプログラム(EPSTPOP3S)に重大
な脆弱性が発見されました。攻撃者がこの脆弱性を悪用することに成功した場
合、当該システムが攻撃者によって制御される恐れがあります。対象となるソ
フトウェアをお使いの皆様には、以下の手順によるアップデートを推奨します。

●詳細

この脆弱性は、バージョン4.22以前のEPSTPOP3Sサービスプログラムにおいて、
APOP認証を同一セッション内で一定回数繰り返すと、パスワードを取得できて
しまう不具合に関するものです。
この不具合は、APOPによる接続を有効としていないPOPサーバには直接影響し
ません。しかしながら、E-Post Mail Serverシリーズ製品に実装しているSMTP
認証機能は、APOP認証と共通の「認証ファイル」を使用しているため、APOP認
証を直接使っていない通常のPOP認証の場合でも、SMTP認証を有効にしている
メールサーバの環境では、パスワードを取得できてしまう恐れがあります。
なお、APOP認証を利用していない場合か、あるいはSMTP認証を利用していない
場合は、今回の脆弱性がもたらす直接の影響はありません。

●重要度

イー・ポストは、この問題をクリティカルな案件と分類し、対象ユーザの皆様
が、当該ソフトウェアに対して早急に修正を行うことを推奨します。
特に、POPサービスでAPOP認証を使用している場合、あるいはメールサーバの
環境でSMTP認証を有効にしている場合は、早急にパッチを適用してください。

●解決方法

以下の手順に従ってパッチを適用してください。パッチプログラムは、この脆
弱性に対する対策を施したプログラムです。

 1. 指定場所から zipファイルをダウンロードします。
 2. ダウンロードしたファイル epstpop3s-v423.zip を解凍し、epstpop3s.
 exe を取り出します。
 3. E-Post Mail ServerのMail Control画面の「サービス制御」タブ画面を選
 択、EPSTPOP3Sの[停止]ボタンをクリックして、サービスプログラムを停止
 します。
 4. E-Post Mail Serverのプログラムインストール先フォルダ(既定ではC:\
 Program Files\EPOST\MS)に、epstpop3s.exe を上書きコピーします。
 念のためロールバックできるようにしたいときは、コピーする前に元のファ
 イルを任意のファイル名にリネームしておいてください。
 5. EPSTPOP3S の[開始]ボタンをクリックしてサービスプログラムを再開し
 ます。
 6. Mail Control画面の「バージョン情報」タブ画面を選択、EPSTPOP3Sのバ
 ージョンが 4.23 になっているのを確認します。

●免責条項

ソフトウェア使用許諾条件に準拠します。