2000年3月13日,インターネットのセキュリティ組織であるJPCERT/CC(コンピュータ緊急対応センター)は,IMAP(インターネット・メッセージ・アクセス・プロトコル)サーバー・プログラムの配布パッケージに含まれる,IMAPからPOP(ポスト・オフィス・プロトコル)2への変換サーバー・プログラム(ipop2d)のセキュリティ・ホールについて警告した。このセキュリティ・ホールを利用すると,リモートからサーバー上で任意のプログラムを実行される恐れがある。変換プログラムは,POP2やPOP3などのメール・クライアントからIMAPサーバーへアクセスできるようにするためのもので,IMAPサーバーのパッケージに含まれている場合が多い。これらの変換プログラムは,実際に利用していなくてもデフォルト設定で動作している可能性がある。

セキュリティ・ホールが確認されているipop2dが含まれるのは,米ワシントン大学が開発したIMAPサーバー・プログラム・パッケージのバージョン4.4(imap-4.4)以前。セキュリティ・ホールが含まれるバージョンを利用している場合には,POP2のサービスを停止するか,IMAPサーバー・パッケージをバージョン・アップする必要がある。

IMAPサーバーや,POPへの変換サーバー・プログラムには,以前にもいくつかセキュリティ・ホールが見つかっている(参考文献)。今回警告されたセキュリティ・ホールはそれらとは異なる。セキュリティ・ホールを持つipop2dを動作させていると,nobodyユーザーの権限を奪われて,任意のプログラムを実行される可能性がある。その結果,たとえばほかのサイトへの踏み台として利用されたり,nobody権限を介して管理者権限を奪わたりする恐れがある。

対策としては,POP2のサービスを停止するか,IMAPサーバー・パッケージをバージョン・アップする。通常利用しているPOPはバージョン3(POP3)なので,POP2のサービスを停止しても不都合はない。/etc/inetd.confファイル中にあるpop2(あるいは/etc/servicesファイル中で109/TCPに対して定義している名称)の行をコメント・アウトしてシステムを再起動,あるいはHUPシグナルを送れば,サービスを停止できる。最新のIMAPサーバー・パッケージは米ワシントン大学のWebサイトあるいはFTPサーバーなどから入手できる。(Y.K.)