各位
JPCERT-AT-2003-0002
JPCERT/CC
2003-03-04
<<< JPCERT/CC Alert 2003-03-04 >>>
sendmail の脆弱性に関する注意喚起
Vulnerability of sendmail
http://www.jpcert.or.jp/at/2003/at030002.txt
I. 概要
sendmail にバッファオーバーフローの脆弱性が発見されました。結果とし
て、遠隔から第三者が root 権限を取得する可能性があります。
この問題は、sendmail がメッセージに含まれるヘッダ情報を処理する際に
発生します。したがって、内部ネットワークに設置したホスト上で稼動してい
る sendmail であっても、外部から中継されたメッセージを受け取ることによっ
て、問題が発生する可能性があります。
詳細については、以下の URL で示されるページを参照してください。
CERT Advisory CA-2003-07
Remote Buffer Overflow in Sendmail
http://www.cert.org/advisories/CA-2003-07.html
CIAC Bulletin N-048
Sendmail MTA Vulnerability
http://www.ciac.org/ciac/bulletins/n-048.shtml
Sendmail Security Alert
http://www.sendmail.com/security/
Internet Security Systems セキュリティアラート
Sendmailのヘッダー処理に対する脆弱性
http://www.isskk.co.jp/support/techinfo/general/SendmailHeader_xforce.html
II. 対象
CERT/CC からの情報によると、この問題が存在することが確認されているの
は以下のバージョンです。
- Sendmail バージョン 8.12.7 およびそれ以前
- Sendmail Pro (全バージョン)
- Sendmail Switch 2.1 (2.1.4 およびそれ以前)
- Sendmail Switch 2.2 (2.2.4 およびそれ以前)
- Sendmail Switch 3.0 (3.0.2 およびそれ以前)
- Sendmail for NT 2.X (2.6.1 およびそれ以前)
- Sendmail for NT 3.0 (3.0.2 およびそれ以前)
III. 解決方法
この問題は、sendmail を対策済みのパッケージに更新する、またはバージョ
ン 8.12.8 (もしくはそれ以降) に更新することで解決します。詳細について
は、ベンダや配布元などが公開している情報を参照してください。また、以下
の URL で示されるページも併せて参照してください。
CERT/CC Vulnerability Note VU#398025
Remote Buffer Overflow in Sendmail
http://www.kb.cert.org/vuls/id/398025
Sendmail 8.12.8
http://www.sendmail.org/8.12.8.html
Patching Sendmail
http://www.sendmail.org/patchcr.html
[関連文書]
※ 更新される可能性がありますので適宜最新版をご確認ください。
Red Hat Security Advisory RHSA-2003:073-06
Updated sendmail packages fix critical security issues
https://rhn.redhat.com/errata/RHSA-2003-073.html
Red Hat Security Advisory RHSA-2003:074-06
Updated sendmail packages fix critical security issue
https://rhn.redhat.com/errata/RHSA-2003-074.html
FreeBSD Security Advisory FreeBSD-SA-03:04.sendmail
sendmail header parsing buffer overflow
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:04.sendmail.asc
OpenBSD 3.2 errata 009: SECURITY FIX: March 3, 2003
http://www.openbsd.org/errata.html#sendmail
Free Sun Alert Notifications Article 51181
sendmail(1M) Parses Headers Incorrectly in Certain Corner Cases
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/51181
SGI Security Advisory
Mail Header Buffer Overflow In Sendmail
ftp://patches.sgi.com/support/free/security/advisories/20030301-01-P
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
Topへ