ウェブメール「Active! mail 6」にHTTPヘッダインジェクションの脆弱性

　独立行政法人 情報処理推進機構セキュリティセンター（IPA/ISEC）と一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は10月29日、トランスウエアが提供するウェブメール「Active! mail 6」にHTTPヘッダインジェクションの脆弱性が確認されたと「Japan Vulnerability Notes（JVN）」で発表した。

　「Active! mail 6 Build 6.40.010047750」およびそれ以前のバージョンには、HTTPヘッダインジェクションの脆弱性が存在する。この問題が悪用されると、ユーザーのウェブブラウザ上に偽の情報が表示されたり、任意のスクリプトが実行されたりするほか、HTTPレスポンス分割攻撃を受けるなどの可能性があるという。

　トランスウエアでは、この脆弱性を解消した最新版を公開しており、該当ユーザーはアップデートするよう呼びかけている。