脆弱性
メール受信の認証方式「APOP」にパスワード漏洩の脆弱性
メールクライアントがメールサーバからメールを受信する際に利用される認証プロトコル「APOP」に、パスワードが漏洩する脆弱性があるとして、情報処理推進機構などは注意喚起を行っている。
JPCERTコーディネーションセンターとIPAが共同で運営するJVNなどによれば、MD5ハッシュ衝突に基づく攻撃手法が発見されたことから、メールサーバを詐称してメールクライアントからの応答を集められた場合、APOPを利用していてもパスワードが解読され、第三者に漏洩する可能性があるという。
JVNでは、応答を長時間にわたって集める必要があることから実際の攻撃は比較的困難としているが、IPAでは脆弱性についてCVSS基本値を「4.0」、深刻度を「警告」とした。またプロトコル上の問題であり、ソフトウェアで脆弱性を解消することはできないため、SSLを用いる「POP over SSL」の利用を推奨している。
JVN
http://jvn.jp/
情報処理推進機構
http://www.ipa.go.jp/
JPCERTコーディネーションセンター
http://www.jpcert.or.jp/
(Security NEXT - 2007/04/19更新)
本サイトの記事、図版等の無断転載を禁止します。
最近の記事
 |
|
|
|
||
|
|
|
 |
|
|
 |
|
|
| [PR] | |
|
|
|
|
 |
|
|
| 無料メルマガ |
|
忙しいけど、事情通。 そんなあなたを支えます。 最新セキュリティ情報を 毎週、3分で入手。 サンプルはこちら Powered by まぐまぐ |
|
|
|
|
|
|
|
広告掲載について | 利用規約・免責事項 | プライバシーポリシー | 運営会社概要
Copyright (c) 2007 NEWSGAIA Co.,Ltd. All rights reserved. |
|