-----BEGIN PGP SIGNED MESSAGE-----

各位

                                                  JPCERT-AT-2003-0004
                                                            JPCERT/CC
                                                           2003-03-31

                  <<< JPCERT/CC Alert 2003-03-31 >>>

               新たな sendmail の脆弱性に関する注意喚起

                  Another Vulnerability of sendmail

             http://www.jpcert.or.jp/at/2003/at030004.txt

I. 概要

  ※ この問題は、3月初旬に公開された sendmail の脆弱性とは別のものであ
     ることに注意してください。

  sendmail にバッファオーバーフローの脆弱性が発見されました。結果とし
て、遠隔から第三者が root 権限を取得する可能性があります。

  この問題は、sendmail が電子メールアドレスを処理する際に発生します。
したがって、内部ネットワークに設置したホスト上で稼動している sendmail
であっても、外部から中継されたメッセージを受け取ることによって、問題が
発生する可能性があります。

  詳細については、以下の URL で示されるページを参照してください。

    CERT Advisory CA-2003-12
    Buffer Overflow in Sendmail
    http://www.cert.org/advisories/CA-2003-12.html

    JPCERT/CC Vendor Status Note JVNCA-2003-12
    Sendmail にバッファオーバーフローの脆弱性
    http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-12.html

    Sendmail Security Alert
    http://www.sendmail.com/security/

  3月初旬に公開された sendmail の脆弱性については、以下の URL で示され
るページを参照してください。

    JPCERT/CC Alert 2003-03-04
    sendmail の脆弱性に関する注意喚起
    http://www.jpcert.or.jp/at/2003/at030002.txt

    JPCERT/CC Vendor Status Note JVNCA-2003-07
    Sendmail に遠隔から攻略可能な脆弱性
    http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-07.html

    CERT Advisory CA-2003-07
    Remote Buffer Overflow in Sendmail
    http://www.cert.org/advisories/CA-2003-07.html


II. 対象

  CERT/CC からの情報によると、この問題が存在することが確認されているの
は以下のバージョンです。

    - Sendmail バージョン 8.12.8 およびそれ以前
    - Sendmail Pro (全バージョン)
    - Sendmail Switch 2.1 (2.1.5 およびそれ以前)
    - Sendmail Switch 2.2 (2.2.5 およびそれ以前)
    - Sendmail Switch 3.0 (3.0.3 およびそれ以前)
    - Sendmail for NT 2.X (2.6.2 およびそれ以前)
    - Sendmail for NT 3.0 (3.0.3 およびそれ以前)


III. 解決方法

  この問題は、sendmail を対策済みのパッケージに更新する、またはバージョ
ン 8.12.9 (もしくはそれ以降) に更新することで解決します。詳細について
は、ベンダや配布元などが公開している情報を参照してください。また、以下
の URL で示されるページも併せて参照してください。

    CERT/CC Vulnerability Note VU#897604
    Sendmail address parsing buffer overflow
    http://www.kb.cert.org/vuls/id/897604

    Sendmail 8.12.9
    http://www.sendmail.org/8.12.9.html


[関連文書]

 ※ 適宜最新版をご確認ください。

    Red Hat Linux 8.0 Security Advisories
    https://rhn.redhat.com/errata/rh8-errata-security.html

    Turbolinux Japan Security Center
    http://www.turbolinux.co.jp/security/

    Debian GNU/Linux -- セキュリティ情報
    http://www.debian.org/security/

    日本hp アップデート・アシスト情報
    http://www.jpn.hp.com/upassist/assist2/secbltn/

    FreeBSD Security Advisory FreeBSD-SA-03:07.sendmail
    a second sendmail header parsing buffer overflow
    ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:07.sendmail.asc

    NetBSD Security Advisories
    http://www.netbsd.org/Security/

    OpenBSD 3.2 Security Advisories
    http://www.openbsd.org/security.html#32

    SGI Security Advisory
    ftp://patches.sgi.com/support/free/security/advisories/


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBPvbT9Yx1ay4slNTtAQFhMgQAv9ijqVptBcVVWmi7UrBMLntVHWdk6MPM
94frMOLoNDrmECEtOK1vllV2631EulhlmC+WNerKWPUIaZbB/6md/IlvHkQ5HCQH
lIjvXtzh04IdLemKAMD0OhqvTY+JQiND76vjlvAquGJTC/tcHW60Mpsa3ME6Zmc3
1vb4xtVqZVI=
=e7uK
-----END PGP SIGNATURE-----