JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は2月3日(米国時間)、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#90495537: OpenSMTPD に権限昇格と任意コード実行の脆弱性」において、OpenSMTPDの脆弱性について伝えた。OpenSMTPDはOpenBSDプロジェクトが提供するSMTPサーバ。

脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

  • OpenSMTPD 6.4.0〜6.6.1 までのバージョン

脆弱性に関する情報は次のページにまとまっている。

  • VU#390745 - OpenSMTPD vulnerable to local privilege escalation and remote code execution

    VU#390745 - OpenSMTPD vulnerable to local privilege escalation and remote code execution

この脆弱性を悪用されると、不正なSMTPメッセージによってローカルの第三者が特権昇格を行ったり、ローカルまたはリモートの第三者がroot権限で任意のコードを実行したりする可能性があるとされており、注意が必要。対象となる脆弱性は深刻度が『緊急』と評価されている。

既にこの脆弱性を修正したバージョン「OpenSMTPD version 6.6.2p1」が公開されており、JPCERT/CCは開発者が提供する情報をチェックするとともに、最新版へアップデートすることを推奨している。

この脆弱性に関しては、Cybersecurity and Infrastructure Security Agency (CISA)も「OpenSMTPD Vulnerability|CISA」において注意喚起を行っている。