PGPやS/MIME暗号化の脆弱性が発見されました。MDaemonへ搭載しているMDPGPはこの脆弱性の影響を部分的に受ける場合があります。
https://efail.deの調査チームより、S/MIMEとOpenPGPで採用している暗号化プロトコルの仕様について問題がある事が報告されました。EFAILの調査によると、この脆弱性は特定の環境下で同様の暗号化プロトコルを使用しているデスクトップやモバイル端末のメール全てに影響します。
MDaemonの開発チームでは、ウェブメールやOpenPGPを元に開発したMDPGPが、この脆弱性に該当するかどうかを調査しました。その結果、MDaemonのウェブメールは、この脆弱性に該当する箇所はありませんでした。ただし、MDaemonに搭載されている、OpenPGPをベースにしたMDPGPは、一部この脆弱性の影響を受ける場合があります。
対象バージョン
- MDaemon 18.0.0 (64 bit)
- MDaemon 18.0.0 (32 bit)
- MDaemon 17.5.3 (64 bit
- MDaemon 17.5.3 (32 bit)
- MDaemon 17.0.3 (64 bit)
- MDaemon 17.0.3 (32 bit)
対象バージョンのMDaemonを稼働させていて、MDPGPをお使いのお客様は、最新バージョンの18.0.1へアップデートするか、17.xバージョンのままご利用頂く場合にはMDaemonセキュリティパッチのダウンロードページより、修正パッチをダウンロードし、zipファイル内のMDPGP.dllをMDaemonインストールフォルダの中のappサブフォルダへコピーした後、MDaemonサービスを再起動してください。
今回の脆弱性は、S/MIMEとPGPの仕様に関連したものであるため、長期的にはS/MIMEとOpenPGPの仕様変更が検討されていくものと思われます。MDaemonの開発チームではこの問題について進展があった際には、随時ご案内する予定です。
関連情報へのリンク