対応バージョン: m-FILTER Ver.4 / Ver.5
対応OS: すべてのOS
JVN#55675303『デジタルアーツ製 m-FILTER における認証不備の脆弱性』が
2023/01/06にJPCERT/CC、情報処理推進機構(IPA)から公開されています。
■対象となるお客様
・「m-FILTER」Ver.4.00R01~Ver.4.87R03、Ver.5.00R01~Ver.5.61R02 をご利用のお客様
・「m-FILTER」Ver.3 以前の旧バージョンをご利用のお客様
■必要な対応(恒久対策)
「m-FILTER」を
最新バージョンにアップデートしてください。
本脆弱性は、次のバージョンで修正されています。
・「m-FILTER」Ver.5.70R01(Ver.5系)
・「m-FILTER」Ver.4.87R04(Ver.4系)
バージョンアップ(アップデート)手順
https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=3893
バージョンアップ(アップデート)時の注意点
https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=6574
■本脆弱性による影響
以下の条件に合致したとき、独自認証設定に設定されているユーザー情報での認証をせずに
認証が成功し、第三者によって意図しないメールが送信されてしまうことがあります。
・[オプション > m-FILTER認証]にて以下の設定がされている場合
m-FILTER認証方式:独自認証
メール送信サーバーでのSMTP認証:ON (メール送信サーバーではSMTP認証を行わない)
かつ
・クライアントにて認証方式にCRAM-MD5を指定した場合
※ただし、「m-FILTER」はDMZへの配置が非推奨であり、お客様イントラネット内に
配置いただくことが通常となるため、他製品が踏み台にされてイントラネット内に
侵入された状態とならない限り、問題が発生することはありません。
▽参考FAQ
「m-FILTER」DMZに配置してもよいですか
https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=4068
■「m-FILTER」をすぐにアップデートすることができない場合の暫定対応方法
ワークアラウンドはありません。
「m-FILTER」を最新バージョンにアップデートする必要があります。
■脆弱性への対応が完了したことを確認する方法
「m-FILTER」のバージョンを確認してください。
Ver.5.70R01以降のバージョン または Ver.4.87R04以降のバージョンが表記されていれば、
対応が完了したことを確認可能です。
▽参考FAQ
「m-FILTER」現在利用している『m-FILTERのバージョン』はどのように確認できますか
https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=729
■補足
・「m-FILTER@Cloud」は本脆弱性への対応を実施済みですので、影響はありません。
お客様が何らかの対応を行う必要もありません。
https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=6723
・「m-FILTER MailAdviser」は本脆弱性の対象外です。
また、「i-FILTER」などその他の弊社製品についても本脆弱性の対象外です。