Mozilla Foundation セキュリティアドバイザリ 2007-15
- タイトル
- APOP 認証に関するセキュリティ脆弱性
- 重要度
- 中
- 公開日
- 2007/05/30
- 報告者
- Gaëtan Leurent 氏
- 影響を受ける製品
- Thunderbird
- SeaMonkey
- 修正済みのバージョン
- Thunderbird 2.0.0.4
- Thunderbird 1.5.0.12
- SeaMonkey 1.0.9
- SeaMonkey 1.1.2
概要
Gaëtan Leurent 氏が APOP 認証に関する脆弱性について私たちに知らせてくれました。これは、攻撃者が正しいメールサーバを装って、ユーザのネットワーク上で悪質なメールサーバを中継させることができた場合、ユーザのメールパスワードの最初の部分を復元できてしまうというものです。通常の設定では、数文字のパスワードであっても、攻撃者がそれを復元するのに必要なデータを集めるには数時間かかります。この結果は「Fast Software Encryption 2007」というカンファレンスで発表されました。
そのカンファレンスのランプセッションでは、同じハッシュコリジョン攻撃の応用型によって 31 文字のパスワードの復元に成功したことが、電気通信大学のチームによって公表されました。
Thunderbird と SeaMonkey の修正版では、APOP に利用される Message-ID 形式の実行をより厳密にすることで、この攻撃手法を回避します。
認証を利用しない POP メールアカウントでは、日常的に、また同じ仮定状況においても、攻撃者側で特別な技術を用いることなく、即座にパスワードを復元することが可能です。
回避策
メールアカウントで APOP 認証を利用している場合は修正版に更新してください。
参考資料
https://bugzilla.mozilla.org/show_bug.cgi?id=373973
Message Freedom in MD4 and MD5 Collisions: Application to APOP (PDF) (Leurent 氏)
Extended APOP Password Recovery Attack (PDF) (Sasaki 氏他)
CVE-2007-1558