STARTTLS 実装の問題は Qmail-TLS patch にも影響あるみたい

STARTTLS の実装に脆弱性が見つかった情報がJVNで公開されています。

JVNVU#555316: 複数の STARTTLS 実装に脆弱性

複数の STARTTLS 実装には、中間者攻撃 (man-in-the-middle attack) によって、コマンドを挿入される可能性があります。本脆弱性は、暗号文通信への切り替えがアプリケーションより下位の層で行われていることに起因しています。

問題なのはこのJVNにはほとんど情報がでていないことで、元ネタの「US-CERT Vulnerability Note VU#555316」を読むと結構広範なプロダクトに影響がありそうな感じ。postfix にアップデートが出たりしてた^*1のもどうやらこの問題に対するアップデートですね。

で、もしやと思って探してみたのですが、Qmail-TLS patchにも影響ある^*2ようです。 qmail で STARTTLS 対応している場合にはチェックしておいた方が良さそうな感じ。 qmailは どうしても拡張が全部パッチになってしまっているので、 qmail 自体にセキュリティ問題が生じなくても、あたっているか、あたっていないかをいちいち確認しながらパッチのセキュリティfixを追いかけていくのは正直しんどいです。やっぱりこういうの見てると qmail 終わりかなぁ。

• ^*1: Plaintext command injection in multiple implementations of STARTTLS (CVE-2011-0411)
• ^*2: Qmail-TLS Information for VU#555316