最終更新日:2025年4月18日 本脆弱性のCVSS v3深刻度:緊急、本脆弱性のCVSS v3基本値:9.8 / 公称「累計2,250法人、1,300万アカウントの導入実績」やで……
“「Active! mail」には、スタックベースのバッファオーバーフローの脆弱性(CVE-2025-42599)が存在します。”
こんなジャパンローカルなシステムが狙われるんなら、もうビッグ・テックに乗っかるほか選択肢がない。死なば諸共。
IIJがこれだとか。
Active! mail懐かしい
今後、危険度がヤバめな脅威が報告された瞬間に該当サービスを問答無用に落とす&落とした際の被害(?)は免責される、みたいな運用がデフォルトになるんだろうか。
スタックベースのバッファオーバーフロー...。スマン、全く判らん。三行で説明を求む。
企業、自治体、学校、いろんなところで使われている製品。いわゆるwebメール製品のデファクトスタンダードのように扱われた時代もある。
あれまー。今契約してるメールサーバーも予備用のクライアントにはなってる。アップデートしてるか業者に確認がこちらの責任だとめんどいな。
バッファオーバーフローの脆弱性だとC言語の古い実装箇所などが残っていたのだろうか。ゼロデイではあるけど、ライブラリレベルのゼロデイとは別物と考えた方が良いと思う。
久しぶりに名前を見た
「Active! mail」でググると、今でも色んな企業や大学のログインページが見付かります。そっちも結構やばい。攻撃対象探すのにも苦労しない有様。
BoFによって、アプリが確保したメモリ領域内にあるサブルーチンポインタを上書きして、攻撃者が入力した実行コードを実行させる。/GW以外にメールボックス提供も有ったのか https://www.qualitia.com/jp/iijmxwebactive_mail/
なんかCっぽい脆弱性、メモリ管理は人類には早すぎた
ふーむ。
mallocと言っても今や分からない人だらけなのでは?危機を感じる。基礎は何よりも大事です。
Active!gateの方は大丈夫?
IIJ情報漏洩の原因となった脆弱性
4/23ここまで
「Active! mail」におけるスタックベースのバッファオーバーフローの脆弱性について(JVN#22348866) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
最終更新日:2025年4月18日 本脆弱性のCVSS v3深刻度:緊急、本脆弱性のCVSS v3基本値:9.8 / 公称「累計2,250法人、1,300万アカウントの導入実績」やで……
“「Active! mail」には、スタックベースのバッファオーバーフローの脆弱性(CVE-2025-42599)が存在します。”
こんなジャパンローカルなシステムが狙われるんなら、もうビッグ・テックに乗っかるほか選択肢がない。死なば諸共。
IIJがこれだとか。
Active! mail懐かしい
今後、危険度がヤバめな脅威が報告された瞬間に該当サービスを問答無用に落とす&落とした際の被害(?)は免責される、みたいな運用がデフォルトになるんだろうか。
スタックベースのバッファオーバーフロー...。スマン、全く判らん。三行で説明を求む。
企業、自治体、学校、いろんなところで使われている製品。いわゆるwebメール製品のデファクトスタンダードのように扱われた時代もある。
あれまー。今契約してるメールサーバーも予備用のクライアントにはなってる。アップデートしてるか業者に確認がこちらの責任だとめんどいな。
バッファオーバーフローの脆弱性だとC言語の古い実装箇所などが残っていたのだろうか。ゼロデイではあるけど、ライブラリレベルのゼロデイとは別物と考えた方が良いと思う。
久しぶりに名前を見た
「Active! mail」でググると、今でも色んな企業や大学のログインページが見付かります。そっちも結構やばい。攻撃対象探すのにも苦労しない有様。
BoFによって、アプリが確保したメモリ領域内にあるサブルーチンポインタを上書きして、攻撃者が入力した実行コードを実行させる。/GW以外にメールボックス提供も有ったのか https://www.qualitia.com/jp/iijmxwebactive_mail/
なんかCっぽい脆弱性、メモリ管理は人類には早すぎた
ふーむ。
mallocと言っても今や分からない人だらけなのでは?危機を感じる。基礎は何よりも大事です。
Active!gateの方は大丈夫?
IIJ情報漏洩の原因となった脆弱性
4/23ここまで