acmailer の脆弱性の確認と対応方法、さくらインターネット公開

　さくらインターネット株式会社は9月6日、「acmailerの脆弱性にご注意ください」と題する注意喚起を発表した。

　この脆弱性は、2021年1月に公開・修正されたものであるが、8月4日に滋賀県警がこの脆弱性を悪用したサイバー犯罪が実行されていると注意喚起を発表している。

　acmailerは株式会社シーズが提供するCGIタイプのメール配信システムで、サーバーに設置するものとなっている。無料で使うことができ、HTMLメールや空メールでのメンバー登録など多機能なため、さくらのレンタルサーバでも利用しているケースが多いという。

　acmailer ver 4.0.3以前、およびacmailer DB版 ver1.1.5以前などのバージョンには、アクセス制限不備（CVE-2021-20617）、権限昇格（CVE-2021-20618）など3つの脆弱性が存在し、これらの脆弱性が悪用されると、次のような影響を受ける可能性がある。

・ログインID及びパスワードの上書き
・acmailer全権限の取得
・メールリスト、ログインID、パスワードなどの設定情報の漏洩
・cgiファイルの破壊
・第三者から任意のコマンドの実行

　脆弱性を解消するには、最新バージョンにアップデートする必要がある。しかし、acmailerはさくらのレンタルサーバのクイックインストールではご提供しておらず、サーバコントロールパネルのインストール済パッケージでは確認できない。

　ただし、インストール手順でacmailerの設置ディレクトリは/acmailerとなるように指定されているため、まずは/acmailerというディレクトリの有無と、同梱されている次のファイルの有無を確認するよう推奨している。

・init_ctl.cgi
・admin_edit.cgi
・email_send_check.cgi
・email_send_ctl.cgi
・email_list.cgi

　バージョンは、インストールディレクトリ内のlib/setup.cgi内の
$SYS->{version}
の行を確認する。

　さくらインターネットでは、acmailerのユーザーに対して最新へのアップデートを行うよう呼びかけている。また、インストールしたが現在は使用していない場合は、設置されたファイルを削除すべきとしている。