管理番号
AM06SA2010-001
脆弱性の種類
HTTP ヘッダ・インジェクション
該当製品および確認方法
影響を受ける製品は以下の通りです。
- 製品名称:Active! mail 6
- 該当ビルド番号:BuildInfo : 6.40.010047750 以前の全てのバージョン
- 該当OS:上記該当ビルド番号の対応OSのすべて
使用しているビルド番号の確認方法は以下の通りです。
- Active! mail 6 へユーザーアカウントにてログイン
- 「ヘルプ」アイコン(画面右上の「ログアウト」ボタン左の
)をクリック - へルプトップ画面にビルド番号が表示される
例) BuildInfo : 6.30.01234567(normal)
該当環境
Active! mail 6 をご利用の場合(PC版およびモバイル版)
脆弱性の内容
悪意のある攻撃者が、「HTTPリクエスト」中に悪意を持って細工された情報を埋め込むことにより、不正な「HTTPレスポンス・ヘッダ」が返され、任意のCookieを設定されたり、偽ページが表示される脆弱性が存在しています。
脆弱性がもたらす脅威
- クライアントに対する不正なCookieを設定される危険性があります。
- 悪意のある偽ページへ誘導される危険性があります。
- クライアントのブラウザにおける不正なスクリプト実行される危険性があります。
対策方法
Active! mail 6 の最新バージョン(BuildInfo: 6.40.02004975)にバージョンアップして下さい。
回避策
回避策はありません。上記の「対策方法」に従った対策を行って下さい。
バージョンアップ版の入手方法
下記のURLにアクセスしてください。
http://www.qualitia.co.jp/support/am/verup/
上記URLアクセス時に認証を求められますので、保守契約時に発行させていただきましたIDとパスワードを入力していただきまして、認証をお願いいたします。認証いたしますと、ZIP形式で圧縮された状態の Active! mail 6 モジュールがダウンロード可能となります。
掲載日: 2010年10月29日