001-008352
メールのContent-typeがmultipart/mixedで、multipart/alternativeパートとtext/plainパートが同じ階層に記述されていると、詳細画面にtext/plainパートの内容が表示されない。
- 種別
- 不具合
- 機能
-
- メール
- 再現バージョン
-
- 3.7.0
- 3.7.1
- 3.7.2
- 3.7.3
- 3.7.4
- 3.7.5
- 改修バージョン
- 4.0.0
- 公開日
- 2014-10-23
- 更新日
- 2015-11-13
詳細
【発生条件】
次の条件をすべて満たすメールを受信すると、現象が発生する場合があります。
- Content-Typeにmultipart/mixedが指定されている。
- multipart/mixedと同じ階層にmultipart/alternativeが存在する。
例:
multipart/mixed
|
+- text/plain
|
multipart/alternative
|
+- text/plain
|
+- text/html
メールソースの例:
-----------------------------------------------------
Return-Path: user1@xxxxx.co.jp
Received: from xxxxx by xxxxx ; Mon, 01 Jan 20xx 00:00:00 +0900
Date: Mon, 01 Jan 20xx 00:00:00 +0900
Subject: Sample_Mail
From: user1@xxxxx.co.jp
To: user2@xxxxx.co.jp
X-Mailer: xxxxxxxxxx
Message-Id: <12345678901234567890123457890@xxxxx.co.jp>
mime-version: 1.0
Content-Type: multipart/mixed; boundary="_12345678901234567890123456789012345"
--_12345678901234567890123456789012345
Content-Type: text/plain; charset=ISO-2022-JP
Content-Transfer-Encoding: 7bit
SampleText1
--_12345678901234567890123456789012345
Content-Type: multipart/alternative; boundary="_2_345678901234567890123456789012345"
MIME-Version: 1.0
Content-Disposition: inline
--_2_345678901234567890123456789012345
Content-Type: text/plain; charset="ISO-2022-JP"
SampleText2
--_2_345678901234567890123456789012345
Content-Type: text/html; charset="ISO-2022-JP"
<html>
<body>
<font color="#66cc66">SampleText2_HTML</font>
</body>
</html>
--_2_345678901234567890123456789012345--
--_12345678901234567890123456789012345--
-----------------------------------------------------
【再現手順】
- 「発生条件」を満たすメールを受信します。
- アプリケーション画面にログインし、[メール] > [受信箱]の順にクリックします。
- 手順1で受信したメールの標題をクリックします。
→現象発生:
multipart/mixed配下のtext/plainパートが表示されません。
回避/対応方法
【回避方法】
次のどちらかの方法で回避できます。
- バージョン 4.0.0のガルーンにバージョンアップします。
- バージョン 3.7.5のガルーンにバージョンアップ後、不具合を改修するためのパッチプログラムを適用します。
パッチプログラムは次のページからダウンロードできます。
パッチプログラムを適用する手順は、付属のreadme.txtを確認してください。
ダウンロードURL:https://kb.cybozu.support/article/32051/#attachments
[Windows版] Garoon20151005Patch-3_7-sp5.zip
サイズ:324 KB (331,845 バイト)
MD5:F920E187EBD41F8DCF5DCCFCFE54D191
[Linux版] Garoon20151005Patch-3_7-sp5.tar
サイズ:406 KB (415,744 バイト)
MD5:DD9EF66915E52BD1CDC599A76F99083B
[Linux版] Garoon20151005Patch-3_7-sp5.tarの適用手順を更新するため、2015/11/13にこのパッチプログラムの差し替えを行いました。
更新ファイルはreadme.txtのみのため、パッチプログラムを既に適用済みの場合は再適用していただく必要はありません。
バージョン 3.7.5用のパッチプログラムで改修できる脆弱性/不具合は、次の6件です。
- メールのContent-typeがmultipart/mixedで、multipart/alternativeパートとtext/plainパートが同じ階層に記述されていると、詳細画面にtext/plainパートの内容が表示されない。(本件)
- メールアカウントを削除すると、ほかのユーザーのメールの添付ファイル(メールソース)が削除される場合がある。
https://kb.cybozu.support/article/31681/ - [CyVDB-863]任意のPHPを実行される脆弱性
https://kb.cybozu.support/article/32045/ - [CyVDB-866]RSSリーダーに関する不適切な入力確認の脆弱性
https://kb.cybozu.support/article/32046/ - [CyVDB-867]任意のPHPを実行される脆弱性
https://kb.cybozu.support/article/32051/ - [CyVDB-1018][CyVDB-1021]ログイン認証に関するLDAPインジェクションの脆弱性
https://kb.cybozu.support/article/32309/
- メールのContent-typeがmultipart/mixedで、multipart/alternativeパートとtext/plainパートが同じ階層に記述されていると、詳細画面にtext/plainパートの内容が表示されない。(本件)
------------------------------------------------------------
【更新履歴】
2015/11/13 バージョン 3.7.5用パッチプログラムの案内を変更しました。
2015/10/05 バージョン 3.7.5用パッチプログラムの案内を更新しました。
2014/12/05 回避方法を更新しました。