Fedora Serverをバージョン42から43にアップグレードしたら、なぜかOutlookのバグらしきモノを発見してしまった ――Fedora Linuxの開発者のひとりであるMarius Schwarzは自身が運営するサイトのサーバOS(Fedora Server)アップグレードの結果、おそらく約20年前から存在していたOutlookの設定の問題を見つけた経緯を「Fedora Magazine」に掲載しているので、その内容を紹介したい。
Fedora Linuxはどのバージョンもリリース後、約13ヵ月間のみサポートが提供される。現時点での最新のバージョンは4月28日リリースされた「Fedora Linux 44」だが、その1年前にリリースされた「Fedora Linux 42」のユーザは、Fedora 44のリリースから1ヵ月後の5月27日にFedora 42がEOL(End of Life)を迎えるため、44または43にアップグレードする必要があった。
自身のサイトのサーバOSにFedora Server 42を使っていたSchwarzは、Fedora 42のEOLにともなってFedora 43にアップグレードしたが、その後、サイトのユーザから「メールが受信できない」という問い合わせが相次ぐことになる。調査をしたところ、影響を受けていたユーザはすべてメールクライアントとしてOutlookを使っており、中には2007年リリースのOutlook 2007も含まれていたという。
問い合わせをしてきたOutlookユーザの共通点は、メールボックスの設定でSSL/TLSを有効にしていたにもかかわらず、OutlookがPOP3の110番ポートを使っていたことだった。110番ポートではパスワードや通信内容が暗号化されない平文での通信が実行されるため、セキュリティ上の観点から現在は使用が推奨されていない(暗号化された通信が行われる995番ポートの使用が推奨されている)。
通常のメールクライアントはSSL/TLSを有効化すると自動的にポート番号を995番に変更するか、もしくは平文を通信中に暗号化通信に切り替えるSTARTTLSを使う。だが、今回のケースでは「Outlookはセキュリティ強化アプリとして最悪の行動を取った。ユーザに通知することなく、選択されたSSLオプションを黙って無視し、暗号化されていない110番ポートを使っていた」(Schwarz)のである。Outlook 2007が含まれていたことを考慮すれば、20年近くに渡ってこの問題が放置されていた可能性が高い。
ではなぜFedora Server 43のアップグレードでこの不具合が判明したのだろうか。Fedora 42→Fedora 43ではメールサーバソフトの「Dovecot」のバージョンが2.3系から2.4系に上がっているが、Dovecot 2.3とDovecot 2.4では設定ファイルなどの変更点が非常に多く、「今まで動いていた設定が突然エラーになる」という報告が少なくない。今回の件に関する部分でいえば、Dovecot 2.4ではデフォルトでSSL/TLSを前提にしており、平文認証の扱いが厳格化されたため、Outlookユーザが受信トレイを開こうとすると「EPR [AUTH]非セキュア(SSL/TLS)接続では平文認証は許可されていません」というこれまで見たことがないメッセージが出るようになったようだ。
Outlookユーザにしてみれば、SSL/TLSを有効にしているのに「平文認証はだめ」と言われたら混乱するのも当然だろう。サーバOSやメールサーバのアップデートはユーザには関係ない話だ。「EU GDPR(EU一般データ保護規則)では、企業や組織はTLSなどのトランスポート暗号化を使用してデータを保護する必要があると規定されているだけで、一般の人はそうする必要がない。したがってこの問題はこれまで気づかれなかった」(Schwarz)
もっとも今回のOutlookの設定の問題はMicrosoftが公式に脆弱性として認めたものではないため、本当にOutlook由来のバグなのか、または特定の古い設定だけの問題なのかはわからない。ユーザのなかには「これはバグではなく、設計時の機能(feature)の問題なのでは」という意見もある。ただ、後方互換性をきびしく制限するアップグレード、今回でいえばDovecot 2.3と2.4で設定ファイルの記述方式が大きく変わったことが、いままで表面化されなかったセキュリティリスクを顕在化させる結果となった。最近では古いオープンソースコードに隠れているバグを検出するためにAIツールを使うアプローチが注目されているが、今回のようにレガシーな設定や後方互換性の見直しもまた、脆弱性を発見する重要な機会になりそうだ。
