-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2003-3201
                                                               JPCERT/CC
                                                              2003-08-13

                 <<< JPCERT/CC REPORT 2003-08-13 >>>

これは JPCERT/CC が 8/3(日) から 8/9(土) の間に得たセキュリティ関連情
報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] postfix の脆弱性

postfix バージョン 1.1.12 およびそれ以前には、アドレスの解析処理に脆弱
性があります。結果として、サービス運用妨害 (DoS) 攻撃を受ける可能性が
あります。

更に、postfix バージョン 1.1.11 およびそれ以前には、アドレスの解析処理
に上記とは別の脆弱性があります。結果として、遠隔から第三者が、他のサイ
トへの分散型サービス運用妨害 (DDoS) 攻撃を行なうためのツールとして使用
する可能性があります。

これらの問題は、postfix をバージョン 1.1.13 (もしくはそれ以降、2.x を
含む) に更新する、またはベンダや配布元が提供する修正済みのパッケージに
更新することで解決します。

  関連文書 (日本語)
    Red Hat Linux セキュリティアドバイス RHSA-2003:251-07
    postfixパッケージのアップデート
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2003-251J.html

    Vine Linux errata
    Postfix にセキュリティホール
    http://vinelinux.org/errata/25x/20030805-1.html

  関連文書 (英語)
    The Postfix Home Page
    http://www.postfix.org/

    Debian Security Advisory DSA-363-1
    postfix -- denial of service, bounce-scanning
    http://www.debian.org/security/2003/dsa-363.en.html



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2003 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBPzmVkox1ay4slNTtAQGjWgP/VigCKH0cdofxWV1PzkJzNVqcZRbOCEce
++17XORRFI81pFLJlP0tJleAwAHFxuggDYi/JEsP578dsRxeNNi8CQjQ6mPnvtQx
kam0p7tFc4/uSVq6nQNd0zvP7usYu4K+a8hfYnhR17i7QfrDsCgxDRe/uPHYQSFJ
8metqkOuTsI=
=vJgC
-----END PGP SIGNATURE-----