Sendmail 8.12.9以前に新たなバッファ・オーバーフロー脆弱性 17
ストーリー by yasu
管理者はつらいよ 部門より
管理者はつらいよ 部門より
umq曰く、"Sendmailに新たなバッファ・オーバーフロー脆弱性が Michal Zalewski のメールで明らかになった。
この問題に対処したSendmail8.12.10もリリースされている。
この問題は各ベンダに告知済らしく、対応パッチが適用されたバージョンがおのおの利用可能になっているようだ(e.g.: FreeBSD Security Advisory, Red Hat の告知)
sendmail を使用しているサイトは、急いで対応する必要があるだろう。"
商用sendmailは? (スコア:4, 参考になる)
ベンダーに問い合わせしてみました。
やっぱり、影響があるようで sendmail.comのページ [sendmail.com] から
Sendmail Switch Patch 2.2.8 for Windows を入れてくれ、
との回答でした。
うぅ、昨日納入終わったばっかりなのに、また行かなきゃいかん。。。
Re:商用sendmailは? (スコア:1, 参考になる)
--
今日は交流電灯の下なのでAC
Re:商用sendmailは? (スコア:0)
Re:商用sendmailは? (スコア:1)
「何かあった場合の責任の所在が明確でないと困る」
って奴ではないですか?
# ベースOSもWindows系の様だし。
Re:商用sendmailは? (スコア:0)
sendmail8.12.x 以外への対処 (スコア:2, 参考になる)
http://www.sendmail.org/patches/parse8.359.2.8
sendmail8.9.3p2(+3.2W), sendmail8.11.7(+3.4W) には使えました。
Re: sendmail8.12.x 以外への対処 (スコア:2, 参考になる)
そんなに変わってませんからね。
でも、sendmail 8.12.9と8.12.10のdiffをとったら、同じよう
な修正が少し後にも加わっていました。
Re:sendmail8.12.x 以外への対処 (スコア:1)
# 8.11.6と8.11.7にsecurity fix以外の大きな問題ってありましたっけ。
# Release note見ても、あまり重要な変更はなさそうな。
OpenBSD-3.3 STABLE005 (スコア:2, 参考になる)
cd /usr/src
patch -p0 005_sendmail.patch
それから、sendmailの再構築とインストールを以下のように行って下さい。
cd gnu/usr.sbin/sendmail
make depend
make
make install
必要であれば、sendmailを再起動して下さい。
kill -HUP `sed q /var/run/sendmail.pid`
ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.3/common/005_sendmail.patch
放置プレイ (スコア:1)
「とるにたらない穴なので放置」だそうです。
・・・いいんだろうか。
Re:放置プレイ (スコア:2, 興味深い)
によれば
なんですがね。
Re:放置プレイ (スコア:0)
放置プレイはダメっぽい (スコア:2, 参考になる)
以前に、メールアドレスがトリガになるsendmailの脆弱性に対して、Postfixが対策パッチを出したことがあったような記憶が。
…あ、これですね:Postfix 2.0.6リリース、Sendmailの脆弱性に対処 [srad.jp]。今回はなんか出るのかなあ。
別にいいや (スコア:0)
でも、ここんとこそんなにヒドイの出てなかったよね?
sendmailのシェアって、一時期に比べてどのくらいなんだろう?
postfix使いなのでAC
Re:別にいいや (スコア:0)
わかんないけど、うちの場合(社内用途)だと
sendmail x10
postfix x3
qmail x2
って感じだからまぁそれなりにあるんじゃないの?
sendmailの入れ替え作業は簡単だからちゃっちゃとすませちゃいました。
最近のは (スコア:0)
Re: 最近のは (スコア:1)
いない変わって部分というのが嫌ですね。過去殆んど全部のバージョンが...。
一方でバイナリ一つ置き換えれば済むところが、sendmailのお手軽ありがたい
ところかと思っています。
きっと、sendmai 5.Xベースとかも生き残ってるだろうし。
(postfixも、こっそり癖のある設定が存在するしなぁ。)