- blogs:
- cles::blog
« WD が HGST を買収 :: FinePix X100 が品薄に »
2011/03/08

STARTTLS 実装の問題は Qmail-TLS patch にも影響あるみたい


STARTTLS の実装に脆弱性が見つかった情報がJVNで公開されています。
JVNVU#555316: 複数の STARTTLS 実装に脆弱性
複数の STARTTLS 実装には、中間者攻撃 (man-in-the-middle attack) によって、コマンドを挿入される可能性があります。本脆弱性は、暗号文通信への切り替えがアプリケーションより下位の層で行われていることに起因しています。
問題なのはこのJVNにはほとんど情報がでていないことで、元ネタの「US-CERT Vulnerability Note VU#555316」を読むと結構広範なプロダクトに影響がありそうな感じ。postfix にアップデートが出たりしてた*1のもどうやらこの問題に対するアップデートですね。
で、もしやと思って探してみたのですが、Qmail-TLS patchにも影響ある*2ようです。 qmail で STARTTLS 対応している場合にはチェックしておいた方が良さそうな感じ。 qmailは どうしても拡張が全部パッチになってしまっているので、 qmail 自体にセキュリティ問題が生じなくても、あたっているか、あたっていないかをいちいち確認しながらパッチのセキュリティfixを追いかけていくのは正直しんどいです。やっぱりこういうの見てると qmail 終わりかなぁ。
- *1: Plaintext command injection in multiple implementations of STARTTLS (CVE-2011-0411)
- *2: Qmail-TLS Information for VU#555316
トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/4108
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form
コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。
OpenID を使ってログインすることができます。
« WD が HGST を買収 :: FinePix X100 が品薄に »
サイト内検索
検索ワードランキング
へぇが多いエントリ
閲覧数が多いエントリ
1 . アーロンチェアのポスチャーフィットを修理(114479)
2 . 福岡銀がデマの投稿者への刑事告訴を検討中(112991)
3 . 年次の人間ドックへ(112415)
4 . 2023 年分の確定申告完了!(1つめ)(111983)
5 . 三菱鉛筆がラミーを買収(111854)
2 . 福岡銀がデマの投稿者への刑事告訴を検討中(112991)
3 . 年次の人間ドックへ(112415)
4 . 2023 年分の確定申告完了!(1つめ)(111983)
5 . 三菱鉛筆がラミーを買収(111854)
cles::blogについて
Referrers