複数のSMTPプロトコル実装になりすましメールを送信される脆弱性「SMTP Smuggling」

複数のSMTPプロトコル実装になりすましメールを送信される脆弱性「SMTP Smuggling」

　複数のSMTPプロトコル実装には、なりすましメールを送信される脆弱性「SMTP Smuggling」が存在する。1月17日に脆弱性ポータルサイトJVNが脆弱性レポート「JVNVU#94855660」で警告している。

　SMTPは電子メールの送信・交換のためのプロトコル。RFCではデータの終端を「<CRLF>.<CRLF>」とすることが定義されている。しかし、データの終端が「<CRLF>.<CRLF>」ではない場合の処理が、実装によって異なる問題が存在し、この問題を悪用して認証を回避し、なりすましメールの送信が可能だという。

　この問題は、サイバー・アプリケーションのセキュリティコンサルティング会社SEC Consultによって2023年12月18日に公表され、「SMTP Smuggling」と名付けられた。CVSS:3.1の深刻度は5.3（MEDIUM）で、以下のツールに影響する（括弧内は割り当てられたCVE番号）。

• 「Postfix」（CVE-2023-51764）
• 「Sendmail」（CVE-2023-51765）
• 「Exim」（CVE-2023-51766）

　JVNでは、使用している電子メールサービスのベンダーが提供する情報を注視し、回避策やパッチ等を適用することを推奨している。