第3章 MTA 6.2.2

CVE-2022-45693: Jettison の脆弱性 

v1.5.2 より前の Jettison のバージョンは、スタックベースのバッファーオーバーフローによって引き起こされたサービス拒否(DoS)に対して脆弱です。 map パラメーターを使用して特別に細工されたリクエストを送信することで、リモートの攻撃者はこの脆弱性を利用して DoS 攻撃を引き起こす可能性があります。この問題は MTA バージョン 6.2.2 で解決されました。

CVE-2023-29406: HTTP/1 クライアントは Host ヘッダーの内容を完全に検証しません。

1.19.11 より前の Golang のバージョンは HTTP ヘッダーの注入に対して脆弱であり、HTTP/1 クライアントによる Host ヘッダーの不適切なコンテンツ検証が原因です。 悪意のある Host ヘッダーは、追加のヘッダーやリクエスト全体を挿入できます。バージョン 1.19.11 Golang 以降では、HTTP/1 クライアントは無効な Request.Host または Request.URL.Host 値が含まれるリクエストの送信を拒否するようになりました。 この問題は MTA バージョン 6.2.2 で解決されました。

CVE-2023-29409: 証明書チェーンで極端に大きな RSA 鍵により、クライアント/サーバーが署名を検証する CPU 時間が大きくなる可能性があります。

証明書チェーンで非常に大きな RSA 鍵により、クライアント/サーバーが署名を検証する CPU 時間が大きくなる可能性があります。 Golang Go パッケージにサービス拒否(DoS)の脆弱性が見つかりました。これは、制御されていないリソース消費の不具合が原因でした。リモートの攻撃者は、大規模な RSA 鍵で特別に細工された証明書を使用するようになることで、クライアント/サーバーが署名を確認するのに大きな CPU 時間を上げて、サービス拒否が発生する可能性があります。 この問題は MTA バージョン 6.2.2 で解決されました。

CVE-2022-1962: go/parserの解析なしの再帰

Golang のバージョンは、1.17.12 より前のバージョンでは、標準のライブラリー go/parser で不具合が見つかり、制御されていない再帰により、深くネストされた型または宣言によってスタックが枯渇することで、攻撃者がパニックを引き起こす可能性がありました。この問題は MTA バージョン 6.2.2 で解決されました。

CVE-2023-26159: url.parse （） 関数による URL の不適切な処理

1.15.4 より前のバージョンの follow-redirects には、不適切な入力検証の脆弱性があります。この不具合は、url.parse （） 関数による URL の不適切な処理によって引き起こされます。新しい URL （） がエラーを出力すると、ホスト名を誤って解釈するために操作することができます。攻撃者はこの弱点を悪用してトラフィックを悪意のあるサイトにリダイレクトするため、情報漏洩、フィッシング攻撃、その他のセキュリティー侵害につながる可能性があります。 この問題は MTA バージョン 6.2.2 で解決されました。

CVE-2022-46751: Apache Ivy での XML 外部エンティティー参照の制限、XML インジェクションの脆弱性

2.5.2 より前のバージョンの Apache Ivy では、XML ファイル（設定、Ivy ファイル または Apache Maven POM）を解析すると、外部ドキュメントタイプ定義をダウンロードし、含まれるエンティティー参照を展開できます。このプロセスは、データを流れたり、Ivy を実行しているマシンのみがアクセスしたりするリソースにアクセスしたり、さまざまな方法で Ivy の実行を解除したりするために使用できます。 この問題は MTA バージョン 6.2.2 で解決されました。

CVE-2023-2976: FileBackedOutputStreamでのファイル作成における Java のデフォルトの一時ディレクトリー

Google Guava バージョン 1.0 から 31.1 では、ローカルの認証された攻撃者が機密情報を取得できる可能性があります。これは、FileBackedOutputStream でファイルを作成するために Java のデフォルトの一時ディレクトリーを使用する不具合が原因で発生します。Unix システム上の FileBackedOutputStream でのファイル作成に Java のデフォルトの一時ディレクトリーを使用すると、デフォルトの Java 一時ディレクトリーにアクセスできるマシン上の他のユーザーが、クラスによって作成されたファイルにアクセスできる可能性があります。 この問題は MTA バージョン 6.2.2 で解決されました。

CVE-2023-35116: 2.15.2 より前の jackson-databind のバージョンにより、攻撃者がサービス拒否やその他の未指定の影響を引き起こす可能性がある（展開される）

2.15.2 より前のバージョンの jackson-databind を使用すると、攻撃者はサービス拒否やその他の未指定の影響を引き起こす可能性があります。ベンダーは、循環データ構造を構築し、シリアライズする手順は外部の攻撃者が達成できないため、これは有効な脆弱性ではないと考えています。この問題は MTA バージョン 6.2.2 で解決されました。

CVE-2023-1436: JSONArray を構築するときに、Jettison で無限の再帰がトリガーされます

要素の 1 つに自己参照を含むコレクションから JSON 配列 を構築するときに、Jettison で無限再帰がトリガーされます。これにより、StackOverflowError 例外が返されます。  この問題は MTA バージョン 6.2.2 で解決されました。