Apache James Mail Server Hit by Double Denial-of-Service Vulnerabilities
2024/02/06 SecurityOnline — 広く使用されている OSS ソリューション Apache James (Java Apache Mail Enterprise Server) メール・サーバーは、サービス拒否 (DoS) 攻撃に対する脆弱性が存在していることが判明した。脆弱性 CVE-2024-45626/CVE-2024-37358 の悪用に成功した攻撃者は、悪意のあるリクエストでサーバを圧倒し、電子メール・サービスの妨害を達成するとされる。
CVE-2024-45626:JMAP (JSON Meta Application Protocol) HTML からテキストへの変換機能のパートに存在する。Apache James のバージョン 3.8.2/3.7.6 未満において、無制限のメモリ消費という影響が生じる。この欠陥を悪用する攻撃者は、HTML からテキストへの変換プロセス中に、過剰なメモリ割り当てをトリガーするための、特別に細工された電子メールまたは JMAP リクエストを送信できる。それにより、サービス拒否が発生し、メール・サーバーがシャットダウンする可能性がある。
CVE-2024-37358:IMAP (Internet Message Access Protocol) リテラルの悪用に関するものだ。以前に報告されている脆弱性 CVE-2024-34055 のケースと同様に、この欠陥を悪用する認証/未認証ユーザーによる、DoS 攻撃のトリガーを許すことになる。慎重に構築されたリテラルを取り込んだ、大量の IMAP 要求を送信する攻撃者は、サーバに無制限のメモリを割り当てさせ、過度に長い計算を実行させることで、サービス停止を引き起こす可能性を手にする
電子メール・インフラにおいて、Apache James に依存している組織にとって、これらの脆弱性は深刻なリスクをもたらす。攻撃が成功すると、重要な通信チャネルが中断され、ビジネス・オペレーションに影響が生じ、さらには、データ損失が引き起こされる可能性もある。
すでに Apache James 開発チームは、必要な修正を含むバージョン 3.8.2/3.7.6 をリリースし、これらの問題に対処している。
影響を受けるバージョンのユーザーに対して、強く推奨されるのは、可能な限り早急に最新リリースへとアップグレードし、システムを保護することだ。管理者にとって必要なことには、ファイアウォールのルールとアクセス制御の確認もある。それにより、悪用のリスクを最小限に抑えるべきだ。
Apache James の DoS 脆弱性が FIX しました。ご利用のチームは、ご注意ください。このブログでは、初登場の Apache James なので、Wikipedia で調べたところ、「Java のみで書かれた、オープンソースの SMTP/POP3 メール転送エージェントである」と解説されていました。よろしければ、Apache で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.