VU#302671: SMTP データの終わりに関する不確実性が悪用され、メールのなりすましやポリシーの回避に利用される可能性があります

メールサーバーとソフトウェアがメールメッセージのデータ終了シーケンスを処理する方法に脆弱性が発見され、攻撃者がセキュリティポリシーを回避できるようになっています。この矛盾は、標準のデータ終了シーケンスから逸脱したメールを作成することで悪用され、SMTPゲートウェイ間で転送されるときに混乱を引き起こします。この攻撃は「SMTP Smuggling」として知られており、メールサービスプロバイダー、メールソフトウェアベンダー、メールセキュリティ製品ベンダーなど、複数の関係者が関与しています。攻撃者は、発信元のメールサービスでホストされている任意のドメインの送信者を偽装し、セキュリティポリシーを回避することができます。メールサービスプロバイダーと管理者は、メールソフトウェアが最新の状態であることを確認し、ソフトウェアベンダーから提供される必要なパッチまたは回避策を適用する必要があります。メールユーザーは、メールに返信したり、悪意のあるソフトウェアをダウンロードする可能性のあるリンクをクリックしたりする場合には注意が必要です。この脆弱性には、Exim、Postfix、Sendmailの各製品にCVE番号が割り当てられています。