クラウド型サービス
クラウド型サービスインデックス

クラウド型メール誤送信対策

Active! gate SS

売上シェア6年連続No.1の
クラウド型メールアーカイブサービス

Active! vault SS

メール・Web会議・チャットの統合サービス

QUALITIA CLOUD

スパム・ウイルス対策完備のクラウド型メールサービス

Active! world

標的型攻撃メール訓練サービス

MudFix

クラウド型標的型メール攻撃対策サービス

Active! zone SS
自社運用向け製品
自社運用向け製品インデックス

メールトータルソリューション

国内売上シェアNo.1を誇るビジネスWebメール

Active! mail

カスタマイズ可能な大規模メールシステム

DEEPMail

アンチスパム+メールサーバーのトータルソフト

MailSuite

誤送信対策

メール経由の情報漏えいを防ぐ誤送信対策

Active! gate

標的型メール攻撃対策

マクロ除去 + 目視による
標的型メール攻撃対策ソリューション

Active! zone

アンチスパム

日本語迷惑メールにも威力を発揮するアンチスパム

Active! hunter

メールアーカイブ

シンプル・セキュアなメールアーカイブ

Active! vault
特長・事例から探す
特長・事例から探す
ニュース・イベント
ニュース・イベント

Active! mail 6 におけるセッション管理に使用するCookieにsecure属性が付加されていないためにセッションIDを盗聴される危険性について

管理番号

AM06SA2009-001

脆弱性の種類

Cookie の漏洩によるセッションハイジャック

該当製品および確認方法

影響を受ける製品は以下の通りです。

製品名称：Active! mail 6
該当ビルド番号：BuildInfo : 6.11.03002420 以前のすべてのバージョン
該当OS：上記該当ビルド番号の対応OSのすべて

使用しているビルド番号の確認方法は以下の通りです。

Active! mail 6 へユーザーアカウントにてログイン
「ヘルプ」アイコン（画面右上の「ログアウト」ボタン左の）をクリック
へルプトップ画面にビルド番号が表示される
例) BuildInfo : 6.30.01234567(normal)

該当環境

SSL (https) 環境にて Active! mail 6 をご利用の場合のみ

脆弱性の内容

発行されたセッション Cookie に対して secure 属性が付加されていないことによりセッションIDを盗聴される脆弱性が存在しています。

脆弱性がもたらす脅威

セッションID の漏洩によりセッションが乗っ取られ、Active! mail 6 へ不正アクセスしメール盗聴などが行われてしまう危険性があります。

対策方法

Active! mail 6 の最新バージョン（BuildInfo: 6.35.01004324）にバージョンアップして下さい。

回避策

回避策はありません。上記の「対策方法」に従った対策を行って下さい。

バージョンアップ版の入手方法

下記のURLにアクセスしてください。
http://www.qualitia.co.jp/support/am/verup/

上記URLアクセス時に認証を求められますので、保守契約時に発行させていただきましたIDとパスワードを入力していただきまして、認証をお願いいたします。認証いたしますと、ZIP形式で圧縮された状態の Active! mail 6 モジュールがダウンロード可能となります。

掲載日: 2009年12月22日