各位
新たな sendmail の脆弱性に関する注意喚起
Another Vulnerability of sendmail
http://www.jpcert.or.jp/at/2003/at030004.txt
I. 概要
※ この問題は、3月初旬に公開された sendmail の脆弱性とは別のものであ
ることに注意してください。
sendmail にバッファオーバーフローの脆弱性が発見されました。結果として、遠隔から第三者が root 権限を取得する可能性があります。
この問題は、sendmail が電子メールアドレスを処理する際に発生します。したがって、内部ネットワークに設置したホスト上で稼動している sendmailであっても、外部から中継されたメッセージを受け取ることによって、問題が発生する可能性があります。
詳細については、以下の URL で示されるページを参照してください。
CERT Advisory CA-2003-12
Buffer Overflow in Sendmail
http://www.cert.org/advisories/CA-2003-12.html
JPCERT/CC Vendor Status Note JVNCA-2003-12
Sendmail にバッファオーバーフローの脆弱性
http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-12.html
Sendmail Security Alert
http://www.sendmail.com/security/
3月初旬に公開された sendmail の脆弱性については、以下の URL で示されるページを参照してください。
JPCERT/CC Alert 2003-03-04
sendmail の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2003/at030002.txt
JPCERT/CC Vendor Status Note JVNCA-2003-07
Sendmail に遠隔から攻略可能な脆弱性
http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-07.html
CERT Advisory CA-2003-07
Remote Buffer Overflow in Sendmail
http://www.cert.org/advisories/CA-2003-07.html
II. 対象
CERT/CC からの情報によると、この問題が存在することが確認されているのは以下のバージョンです。
- Sendmail バージョン 8.12.8 およびそれ以前
- Sendmail Pro (全バージョン)
- Sendmail Switch 2.1 (2.1.5 およびそれ以前)
- Sendmail Switch 2.2 (2.2.5 およびそれ以前)
- Sendmail Switch 3.0 (3.0.3 およびそれ以前)
- Sendmail for NT 2.X (2.6.2 およびそれ以前)
- Sendmail for NT 3.0 (3.0.3 およびそれ以前)
III. 解決方法
この問題は、sendmail を対策済みのパッケージに更新する、またはバージョン 8.12.9 (もしくはそれ以降) に更新することで解決します。詳細については、ベンダや配布元などが公開している情報を参照してください。また、以下の URL で示されるページも併せて参照してください。
CERT/CC Vulnerability Note VU#897604
Sendmail address parsing buffer overflow
http://www.kb.cert.org/vuls/id/897604
Sendmail 8.12.9
http://www.sendmail.org/8.12.9.html
[関連文書]
※ 適宜最新版をご確認ください。
Red Hat Linux 8.0 Security Advisories
https://rhn.redhat.com/errata/rh8-errata-security.html
Turbolinux Japan Security Center
http://www.turbolinux.co.jp/security/
Debian GNU/Linux -- セキュリティ情報
http://www.debian.org/security/
日本hp アップデート・アシスト情報
http://www.jpn.hp.com/upassist/assist2/secbltn/
FreeBSD Security Advisory FreeBSD-SA-03:07.sendmail
a second sendmail header parsing buffer overflow
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:07.sendmail.asc
NetBSD Security Advisories
http://www.netbsd.org/Security/
OpenBSD 3.2 Security Advisories
http://www.openbsd.org/security.html#32
SGI Security Advisory
ftp://patches.sgi.com/support/free/security/advisories/
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
JPCERT-AT-2003-0004
JPCERT/CC
2003-03-31
JPCERT/CC Alert 2003-03-31
新たな sendmail の脆弱性に関する注意喚起
Another Vulnerability of sendmail
http://www.jpcert.or.jp/at/2003/at030004.txt
I. 概要
※ この問題は、3月初旬に公開された sendmail の脆弱性とは別のものであ
ることに注意してください。
sendmail にバッファオーバーフローの脆弱性が発見されました。結果として、遠隔から第三者が root 権限を取得する可能性があります。
この問題は、sendmail が電子メールアドレスを処理する際に発生します。したがって、内部ネットワークに設置したホスト上で稼動している sendmailであっても、外部から中継されたメッセージを受け取ることによって、問題が発生する可能性があります。
詳細については、以下の URL で示されるページを参照してください。
CERT Advisory CA-2003-12
Buffer Overflow in Sendmail
http://www.cert.org/advisories/CA-2003-12.html
JPCERT/CC Vendor Status Note JVNCA-2003-12
Sendmail にバッファオーバーフローの脆弱性
http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-12.html
Sendmail Security Alert
http://www.sendmail.com/security/
3月初旬に公開された sendmail の脆弱性については、以下の URL で示されるページを参照してください。
JPCERT/CC Alert 2003-03-04
sendmail の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2003/at030002.txt
JPCERT/CC Vendor Status Note JVNCA-2003-07
Sendmail に遠隔から攻略可能な脆弱性
http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-07.html
CERT Advisory CA-2003-07
Remote Buffer Overflow in Sendmail
http://www.cert.org/advisories/CA-2003-07.html
II. 対象
CERT/CC からの情報によると、この問題が存在することが確認されているのは以下のバージョンです。
- Sendmail バージョン 8.12.8 およびそれ以前
- Sendmail Pro (全バージョン)
- Sendmail Switch 2.1 (2.1.5 およびそれ以前)
- Sendmail Switch 2.2 (2.2.5 およびそれ以前)
- Sendmail Switch 3.0 (3.0.3 およびそれ以前)
- Sendmail for NT 2.X (2.6.2 およびそれ以前)
- Sendmail for NT 3.0 (3.0.3 およびそれ以前)
III. 解決方法
この問題は、sendmail を対策済みのパッケージに更新する、またはバージョン 8.12.9 (もしくはそれ以降) に更新することで解決します。詳細については、ベンダや配布元などが公開している情報を参照してください。また、以下の URL で示されるページも併せて参照してください。
CERT/CC Vulnerability Note VU#897604
Sendmail address parsing buffer overflow
http://www.kb.cert.org/vuls/id/897604
Sendmail 8.12.9
http://www.sendmail.org/8.12.9.html
[関連文書]
※ 適宜最新版をご確認ください。
Red Hat Linux 8.0 Security Advisories
https://rhn.redhat.com/errata/rh8-errata-security.html
Turbolinux Japan Security Center
http://www.turbolinux.co.jp/security/
Debian GNU/Linux -- セキュリティ情報
http://www.debian.org/security/
日本hp アップデート・アシスト情報
http://www.jpn.hp.com/upassist/assist2/secbltn/
FreeBSD Security Advisory FreeBSD-SA-03:07.sendmail
a second sendmail header parsing buffer overflow
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:07.sendmail.asc
NetBSD Security Advisories
http://www.netbsd.org/Security/
OpenBSD 3.2 Security Advisories
http://www.openbsd.org/security.html#32
SGI Security Advisory
ftp://patches.sgi.com/support/free/security/advisories/
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/