acmailer の脆弱性の確認と対応方法、さくらインターネット公開 | ScanNetSecurity
2024.07.15(月)

acmailer の脆弱性の確認と対応方法、さくらインターネット公開

 さくらインターネットは、「acmailerの脆弱性にご注意ください」と題する注意喚起を発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 さくらインターネット株式会社は9月6日、「acmailerの脆弱性にご注意ください」と題する注意喚起を発表した。

 この脆弱性は、2021年1月に公開・修正されたものであるが、8月4日に滋賀県警がこの脆弱性を悪用したサイバー犯罪が実行されていると注意喚起を発表している。

 acmailerは株式会社シーズが提供するCGIタイプのメール配信システムで、サーバーに設置するものとなっている。無料で使うことができ、HTMLメールや空メールでのメンバー登録など多機能なため、さくらのレンタルサーバでも利用しているケースが多いという。

 acmailer ver 4.0.3以前、およびacmailer DB版 ver1.1.5以前などのバージョンには、アクセス制限不備(CVE-2021-20617)、権限昇格(CVE-2021-20618)など3つの脆弱性が存在し、これらの脆弱性が悪用されると、次のような影響を受ける可能性がある。

・ログインID及びパスワードの上書き
・acmailer全権限の取得
・メールリスト、ログインID、パスワードなどの設定情報の漏洩
・cgiファイルの破壊
・第三者から任意のコマンドの実行

 脆弱性を解消するには、最新バージョンにアップデートする必要がある。しかし、acmailerはさくらのレンタルサーバのクイックインストールではご提供しておらず、サーバコントロールパネルのインストール済パッケージでは確認できない。

 ただし、インストール手順でacmailerの設置ディレクトリは/acmailerとなるように指定されているため、まずは/acmailerというディレクトリの有無と、同梱されている次のファイルの有無を確認するよう推奨している。

・init_ctl.cgi
・admin_edit.cgi
・email_send_check.cgi
・email_send_ctl.cgi
・email_list.cgi

 バージョンは、インストールディレクトリ内のlib/setup.cgi内の
$SYS->{version}
の行を確認する。

 さくらインターネットでは、acmailerのユーザーに対して最新へのアップデートを行うよう呼びかけている。また、インストールしたが現在は使用していない場合は、設置されたファイルを削除すべきとしている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×