-----BEGIN PGP SIGNED MESSAGE-----

各位

                                                   JPCERT-AT-2006-0008
                                                             JPCERT/CC
                                                      2006-06-15(初版)
                                                      2006-06-16(更新)

                  <<< JPCERT/CC Alert 2006-06-15 >>>

                  sendmail の脆弱性に関する注意喚起

                        sendmail Vulnerability

             http://www.jpcert.or.jp/at/2006/at060008.txt


I. 概要

  sendmail には、MIME メッセージの処理に脆弱性があり、特殊なメールを受
信するとサーバのメモリを過剰に消費し、プロセスが異常終了する可能性があ
ります。この脆弱性を使用されるとメールサービスが妨害される可能性があり
ます。

  ベンダより提供されている対策済みソフトウェアへのアップデート、または
パッチの適用を検討してください。


II. 対象

  sendmail 8.13.6 およびそれ以前のバージョン


III. 対策

  以下のサイトを参照し、必要に応じて対策済みソフトウェアへのアップデー
ト、またはパッチを適用してください。

    Sendmail - 8.13.7
    http://www.sendmail.org/releases/8.13.7.html

    Sendmail-SA-200605-01
    深いネスト構造を持つ不正な MIME メッセージによるサービス妨害攻撃
    http://www.sendmail.com/jp/advisory/SA-200605-01-JP.html

今回の sendmail 8.13.7 には、本脆弱性以外の問題に対応した修正も含まれ
ています。従って、バージョンアップ及びパッチ適用の際には十分な確認作業
を行なうことを推奨します。


IV. 参考情報

    Sendmail Home Page
    http://www.sendmail.org/

    Sendmail - 8.13.7
    http://www.sendmail.org/releases/8.13.7.html

    Sendmail, Inc. Product Security
    http://sendmail.com/security/

    Sendmail-SA-200605-01
    Deeply nested malformed MIME denial of service attack
    http://www.sendmail.com/security/advisories/SA-200605-01.txt.asc

    Sendmail, Inc. Product Security
    SA-200605-01 Frequently Asked Questions
    http://sendmail.com/security/advisories/SA-200605-01/faq.shtml

    JP Vendor Status Notes JVNVU#146718
    Sendmail における マルチパート MIME メッセージ処理に関する脆弱性
    http://jvn.jp/cert/JVNVU%23146718/index.html

    Vulnerability Note VU#146718
    Sendmail fails to handle malformed multipart MIME messages
    http://www.kb.cert.org/vuls/id/146718

    CVE-2006-1173
    http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-1173


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

__________

改訂履歴				   

2006-06-15  初版
2006-06-15  対策のアドバイザリ情報をセンドメール株式会社の日本語アドバ
            イザリ情報に差し替え
2006-06-16  センドメール株式会社の日本語アドバイザリ情報の URL を変更

======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBRJH5pox1ay4slNTtAQEyZAQAgzrV+lOIdoTFt8LpwdiH0tKCEjT1iWVu
yOUM5pNyrbAPBwVG8CtoWcQN9ZfEKAiv7v9juQAqm24l2ESFFqwjRXji1p4Yu75T
6Pqsmr4B1apcwXblXvYNCwPpCBfv+qY5b9x0Q1aVEep5tl/vdAde3XWvLpLDZtMB
GVQoQtbjcps=
=mv4m
-----END PGP SIGNATURE-----