Debian DLA-489-1：ruby-mail セキュリティ更新

high Nessus プラグイン ID 91325

Language:

概要

リモートの Debian ホストにセキュリティ更新がありません。

説明

このセキュリティ更新は、ruby-mail のセキュリティ問題を修正します。ruby-mail パッケージをアップグレードすることを推奨します。

Takeshi Terada 氏（三井物産セキュアディレクション）は、「受信者の電子メールアドレスを通した SMTP インジェクション」（http://www.mbsd.jp/Whitepaper/smtpi.pdf）というタイトルのホワイトペーパーを公開しました。このホワイトペーパーには、そのような 1 つの脆弱性が「mail」ruby gem に影響を及ぼす方法について論じている項があります（第 3.1 項を参照）。

ホワイトペーパーには全ての具体的な詳細が含まれていますが、基本的に「mail」ruby gem モジュールは、特定の受信者アドレスの検証もサニタイズも行わないため、受信者攻撃に対して脆弱です。
したがって、ホワイトペーパーの第 2 章で説明されている攻撃は、変更なしに、gem に適用することができます。「mail」ruby gem 自身は、電子メールアドレスに長さ制限を課さないため、アプリケーション側に制限がない限り、攻撃者は受信者のアドレスを通して長いスパムメッセージを送信できます。この脆弱性は、入力検証が欠落しているアプリケーションにのみ影響を与えます。

Debian 7「Wheezy」では、これらの問題はバージョン 2.4.4-2+deb7u1 で修正されました。

注：Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。