マイクロソフト、SMTPサービスのセキュリティホールを公表

【 国内記事】

2002年2月28日更新

　マイクロソフトは28日、SMTPサービスに関する2つのセキュリティ情報を公開した。ひとつは認証レイヤの脆弱性が原因で不正なメール中継を実行されるという問題、もうひとつは不正なデータ送信リクエストによるサービス拒否攻撃の問題。

　不正なメール中継のおそれについては、Windows2000およびExchenge Server 5.5が対象となる（Exchange Server2000には問題はない）。認証レイヤからSMTPサービスへの応答の処理に問題があるためで、この脆弱性を利用すると、メールサービスの不正使用が可能になるものの、SMTPサービスの設定を変更したりOSをクラッシュさせたりといった攻撃はおこなえない。また、サーバ内に保存されているメールの読み出しなどもできない。本件に関しては、日本語版の修正プログラムが公開されている。

　もうひとつのセキュリティホールは、Windows2000/XP Professional/Exchange2000に存在するもので、不正なデータ送信リクエストによってSMTPサービスを異常終了させることが可能。ただ、単純にSMTPサービスが止まるだけで、OS全体のクラッシュや、任意コードの実行などはおこなえないため深刻度は低い。本件に関しても、日本語版の修正プログラムが公開されている。

関連リンク
マイクロソフト