Exim 4.xにおけるDomainKeys Identified Mail（DKIM）処理の脆弱性について

DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■Exim 4.xにおけるDomainKeys Identified Mail（DKIM）処理の脆弱性について

                               株式会社日本レジストリサービス（JPRS）
                                                    2011/05/12（Thu）
---------------------------------------------------------------------

▼概要

  メール転送エージェント（MTA）の1つであるEximの4.70から4.75までのバー
  ジョンには、DomainKeys Identified Mail（DKIM）の処理に実装上の不具合
  があり、当該バージョンのEximが動作しているメールサーバーに対し、攻撃
  者が作成した電子メールを外部から送りつけることにより、当該のメールサー
  バーにおいて任意のコードを実行することが可能になる脆弱性が存在するこ
  とが、開発元より発表されました。本脆弱性は危険度が高いため、該当する
  バージョンのEximを利用しているユーザーは、バージョンアップや設定変更
  など、適切な対応を取ることを強く推奨します。

▼詳細

  DomainKeys Identified Mail（DKIM）はRFC 4871で定義される、電子メール
  においてドメイン名レベルでの認証機能を実現するためのしくみの一つです。
  DKIMでは、電子メールの送信側で付加した「DKIM-Signature:」ヘッダーの
  内容を受信側で検証することにより、電子メールの正当性を確認します。検
  証には公開鍵暗号技術が使用され、送信側で自身のドメイン名を管理する権
  威DNSサーバーにおいてTXTレコードの形で鍵情報を事前公開し、受信側で電
  子メール受信時に当該TXTレコードのDNS検索を実施することにより、公開鍵
  情報を入手します。

  Eximは電子メールを指定された相手先に送信するために使われる、メール転
  送エージェント（MTA）と呼ばれるプログラムの一つです。インターネット
  で広く使われているMTAであるSendmailやPostfixなどと同様、オープンソー
  スで開発されており、無償で入手・使用することができます。また、Eximは
  Linuxのディストリビューションの一つであるDebian GNU/Linuxにおいて、
  標準のMTAとして採用されています。

  Eximでは、バージョン4.70からDKIMによる認証機能がサポートされており、
  標準で有効に設定されています。しかし、バージョン4.70から4.75までの
  DKIMの実装には不具合があり、攻撃者が作成した電子メールを外部から送り
  つけることにより、当該のメールサーバーにおいて任意のコードを実行する
  ことが可能になります。

  本脆弱性の詳細については米国MITRE社が発表するCommon Vulnerabilities
  and Exposures（CVE）の情報（*1）も、併せてご参照ください。

  （*1）<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1764>

▼一時的な回避策

  Eximの受信におけるアクセス制御リスト（RCPT ACL）に以下の設定を追加す
  ることでDKIMによる検証機能を無効にすることにより、本脆弱性を一時的に
  回避できます。

    warn control = dkim_disable_verify

▼解決策

  Exim 4.76へのバージョンアップ、または各ディストリビューションベンダ
  などからリリースされるアップデートの適用が必要となります。

▼参考リンク

  以下に、Eximの開発元からの情報、及びEximを標準MTAとして採用している
  Debian GNU/Linuxに関する情報へのリンクを記載します。また、各ディスト
  リビューションベンダからの情報やCVEの情報（*1）等もご確認の上、適切
  な対応をお願いいたします。

    [exim-announce] Exim 4.76 Release 
    <https://lists.exim.org/lurker/message/20110509.091632.daed0206.en.html>

    Debian セキュリティ勧告 DSA-2232-1 exim4
    <http://www.debian.org/security/2011/dsa-2232>

---------------------------------------------------------------------
▼更新履歴
  2011-05-12 10:00 初版作成