こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。
2022年2月にCyrus SASLのSQLプラグインで脆弱性(CVE-2022-24407)が発表されました。
悪用されると認証データベースを不正に参照されてしまう可能性があり、Redhat社からは2番目に重要度の高いImportant Impact と発表されています。
https://access.redhat.com/security/cve/CVE-2022-24407
Cyrus SASLは主にPostfixなど、メールサーバーの認証に使われており、SQLプラグインを利用して認証情報をデータベースに保存している場合、データベースに対して不正なコマンドを実行されてしまう可能性があります。
脆弱性の対象となるバージョン
脆弱性の影響を受けるバージョンは以下になります。
・Cyrus SASL 2.1.16 〜 2.1.28.
yumを利用している場合は、サーバーにシェルアクセスして下記のコマンドでCyrus SASLのインストール有無とバージョンを確認できます。
rpm -q cyrus-sasl
脆弱性の対策
Redhatを利用している場合は、OS提供元が公開している修正版のhttpdおよび関連パッケージを確認して適用する形になります。他のOSの場合も提供元の発表を確認することをお勧めします。
■ Red Hat Enterprise Linux Server 7
https://access.redhat.com/errata/RHSA-2022:0666
Webサイトへの影響について
Cyrus SASLは主にメールサーバなどサーバー内部へのログイン認証に使われるもので、通常のWebサイトには直接影響しません。
メールサーバを自社管理していて、認証情報をデータベースに保存している場合はログイン時のパスワード入力時に細工されたデータを送られることでSQLコマンドを実行されてしまう可能性があるため、社外からもメールを送受信できるようにしている場合は特に注意が必要です。
さいごに
Webサイトを運用する上で、普段あまり馴染みのないOSやミドルウェアにも日々脆弱性が発表されています。
安全にサイトを運営するためにはこうしたOS・ミドルウェアにもしっかりとしたセキュリティ対策が必要です。
弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。
サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
