-----BEGIN PGP SIGNED MESSAGE----- 各位 JPCERT-AT-2003-0002 JPCERT/CC 2003-03-04 <<< JPCERT/CC Alert 2003-03-04 >>> sendmail の脆弱性に関する注意喚起 Vulnerability of sendmail http://www.jpcert.or.jp/at/2003/at030002.txt I. 概要 sendmail にバッファオーバーフローの脆弱性が発見されました。結果とし て、遠隔から第三者が root 権限を取得する可能性があります。 この問題は、sendmail がメッセージに含まれるヘッダ情報を処理する際に 発生します。したがって、内部ネットワークに設置したホスト上で稼動してい る sendmail であっても、外部から中継されたメッセージを受け取ることによっ て、問題が発生する可能性があります。 詳細については、以下の URL で示されるページを参照してください。 CERT Advisory CA-2003-07 Remote Buffer Overflow in Sendmail http://www.cert.org/advisories/CA-2003-07.html CIAC Bulletin N-048 Sendmail MTA Vulnerability http://www.ciac.org/ciac/bulletins/n-048.shtml Sendmail Security Alert http://www.sendmail.com/security/ Internet Security Systems セキュリティアラート Sendmailのヘッダー処理に対する脆弱性 http://www.isskk.co.jp/support/techinfo/general/SendmailHeader_xforce.html II. 対象 CERT/CC からの情報によると、この問題が存在することが確認されているの は以下のバージョンです。 - Sendmail バージョン 8.12.7 およびそれ以前 - Sendmail Pro (全バージョン) - Sendmail Switch 2.1 (2.1.4 およびそれ以前) - Sendmail Switch 2.2 (2.2.4 およびそれ以前) - Sendmail Switch 3.0 (3.0.2 およびそれ以前) - Sendmail for NT 2.X (2.6.1 およびそれ以前) - Sendmail for NT 3.0 (3.0.2 およびそれ以前) III. 解決方法 この問題は、sendmail を対策済みのパッケージに更新する、またはバージョ ン 8.12.8 (もしくはそれ以降) に更新することで解決します。詳細について は、ベンダや配布元などが公開している情報を参照してください。また、以下 の URL で示されるページも併せて参照してください。 CERT/CC Vulnerability Note VU#398025 Remote Buffer Overflow in Sendmail http://www.kb.cert.org/vuls/id/398025 Sendmail 8.12.8 http://www.sendmail.org/8.12.8.html Patching Sendmail http://www.sendmail.org/patchcr.html [関連文書] ※ 更新される可能性がありますので適宜最新版をご確認ください。 Red Hat Security Advisory RHSA-2003:073-06 Updated sendmail packages fix critical security issues https://rhn.redhat.com/errata/RHSA-2003-073.html Red Hat Security Advisory RHSA-2003:074-06 Updated sendmail packages fix critical security issue https://rhn.redhat.com/errata/RHSA-2003-074.html FreeBSD Security Advisory FreeBSD-SA-03:04.sendmail sendmail header parsing buffer overflow ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:04.sendmail.asc OpenBSD 3.2 errata 009: SECURITY FIX: March 3, 2003 http://www.openbsd.org/errata.html#sendmail Free Sun Alert Notifications Article 51181 sendmail(1M) Parses Headers Incorrectly in Certain Corner Cases http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/51181 SGI Security Advisory Mail Header Buffer Overflow In Sendmail ftp://patches.sgi.com/support/free/security/advisories/20030301-01-P 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ====================================================================== コンピュータ緊急対応センター (JPCERT/CC) http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPvbT9Yx1ay4slNTtAQESKwP9GJHIcydWprjpH8t3X4Ca5XkbDG/23xNF Y7K6PkbIwqqobWn3OxY6VPtUGRF9R/r1UFY0fGCdwgKcjdpvgvHXYHlnCUCMngh5 QBmDEugiGXRJ2T9kMqh9FJ++nkoP0u9bkgZiDmfL0MfZNFZ3zf8mejR+NVdhl3do uvfyZa5QQMc= =t02I -----END PGP SIGNATURE-----