各位
JPCERT-AT-2006-0008
JPCERT/CC
2006-06-15(初版)
2006-06-16(更新)
<<< JPCERT/CC Alert 2006-06-15 >>>
sendmail の脆弱性に関する注意喚起
sendmail Vulnerability
http://www.jpcert.or.jp/at/2006/at060008.txt
I. 概要
sendmail には、MIME メッセージの処理に脆弱性があり、特殊なメールを受
信するとサーバのメモリを過剰に消費し、プロセスが異常終了する可能性があ
ります。この脆弱性を使用されるとメールサービスが妨害される可能性があり
ます。
ベンダより提供されている対策済みソフトウェアへのアップデート、または
パッチの適用を検討してください。
II. 対象
sendmail 8.13.6 およびそれ以前のバージョン
III. 対策
以下のサイトを参照し、必要に応じて対策済みソフトウェアへのアップデー
ト、またはパッチを適用してください。
Sendmail - 8.13.7
http://www.sendmail.org/releases/8.13.7.html
Sendmail-SA-200605-01
深いネスト構造を持つ不正な MIME メッセージによるサービス妨害攻撃
http://www.sendmail.com/jp/advisory/SA-200605-01-JP.html
今回の sendmail 8.13.7 には、本脆弱性以外の問題に対応した修正も含まれ
ています。従って、バージョンアップ及びパッチ適用の際には十分な確認作業
を行なうことを推奨します。
IV. 参考情報
Sendmail Home Page
http://www.sendmail.org/
Sendmail - 8.13.7
http://www.sendmail.org/releases/8.13.7.html
Sendmail, Inc. Product Security
http://sendmail.com/security/
Sendmail-SA-200605-01
Deeply nested malformed MIME denial of service attack
http://www.sendmail.com/security/advisories/SA-200605-01.txt.asc
Sendmail, Inc. Product Security
SA-200605-01 Frequently Asked Questions
http://sendmail.com/security/advisories/SA-200605-01/faq.shtml
JP Vendor Status Notes JVNVU#146718
Sendmail における マルチパート MIME メッセージ処理に関する脆弱性
http://jvn.jp/cert/JVNVU%23146718/index.html
Vulnerability Note VU#146718
Sendmail fails to handle malformed multipart MIME messages
http://www.kb.cert.org/vuls/id/146718
CVE-2006-1173
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-1173
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
__________
改訂履歴
2006-06-15 初版
2006-06-15 対策のアドバイザリ情報をセンドメール株式会社の日本語アドバ
イザリ情報に差し替え
2006-06-16 センドメール株式会社の日本語アドバイザリ情報の URL を変更
======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
Topへ