概要
Go 標準 ライブラリ の net/mail パッケージ に ある ParseAddressList 関数 に、メールアドレス の 表示名 に 含まれる コメント の 処理 が 不正確 な 脆弱性 が 存在 します。この 不整合 により、Go の パーサー と 他 の メール パーサー の 間 で 同じ メールアドレス に 対する 解釈 が 異なり、信頼 判定 に 差異 が 生じる 可能性 が あります。
たとえば、メール フィルタリング システム で Go の net/mail を 使用 して 送信者 を 検証 している 場合、攻撃者 が コメント 付き の 表示名 を 利用 して フィルタ を バイパス する 可能性 が あります。具体的 には、RFC 5322 の コメント 構文(括弧 で 囲まれた 部分)の 処理 が 他 の メール パーサー と 異なる ため、同じ アドレス を 異なる 送信元 と して 解釈 する 差異 が 生じます。メール 処理 を 行う Go アプリケーション で は、Go の 最新版 へ の アップデート を 推奨 します。同時期 に 報告 された CVE-2024-24786(protojson 無限ループ)と あわせて、Go ランタイム の 更新 を 検討 して ください。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.5 |
| 深刻度 | HIGH |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権 | 不要 |
| CWE | パーサー 不整合 |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響バージョン |
|---|---|---|
| Go 標準ライブラリ net/mail | Google / Go | 修正前 の バージョン |
修正 バージョン と 回避策
- 修正: Go の 最新版 へ アップデート して ください。Go 1.22 系 または 1.21 系 の 最新 パッチ リリース で 修正 されています
- 回避策: メールアドレス の バリデーション に net/mail のみ に 依存 せず、追加 の 検証 ロジック を 実装 する
- 補足: メール フィルタリング、送信者 検証、SPF/DKIM チェック 等 の メール セキュリティ 処理 で net/mail を 使用 して いる 場合 は 優先的 に 対応 して ください
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。