ページ内ジャンプ:

記事
スラッシュボックス
コメント

スラッシュドット・ジャパン

アレゲなニュースと雑談サイト

ユーザ登録でもっと便利に！

[ アカウントをゲット！ ]

<a href='http://ads.osdn.jp/x/delivery/ck.php?n=a0695dfc&cb=1268755961' target='_blank'><img src='http://ads.osdn.jp/x/delivery/avw.php?zoneid=22&cb=1268755961&n=a0695dfc' border='0' alt='' /></a>

セクション

Slashdot

ストーリー

情報提供

OSDNサイト

<a href='http://ads.osdn.jp/x/delivery/ck.php?n=acfd8c5a&cb=1268755961' target='_blank'><img src='http://ads.osdn.jp/x/delivery/avw.php?zoneid=30&cb=1268755961&n=acfd8c5a' border='0' alt='' /></a>

Sendmail 8.12.8以前に再びバッファ・オーバーフロー脆弱性

Oliverによる 2003年03月31日 12時23分の掲載
MTA選択の自由と責任部門より。

k3c 曰く、 "先日バッファ・オーバーフロー脆弱性が見つかったばかりのSendmailに再びバッファ・オーバーフロー脆弱性が発見された(Sendmail社の告知、CERT Advisory、JPCERT/CC Vendor Status Notes)。前回とは違う箇所だが、バグの性質は前回と同じくメールアドレスの処理に問題があるというもので、つまり、メール転送の途中経路や末端にあるSendmailサーバーでも脆弱性をついた攻撃が成立するということも同じだ。既にSendmail社からpatchが提供されているということなので速やかに当てておくべし。各ベンダの対応情報は前回と同じくJVNCAに期待しよう。
ところで、前回の脆弱性について、もう一方の雄、Postfixが長過ぎるアドレスをtruncateしてくれる機能を追加してくれましたが、今回の脆弱性についてもこの機能は有効と理解して良いのでしょうか？識者のフォロー求む。"

<a href='http://ads.osdn.jp/x/delivery/ck.php?n=a47108c2&cb=1268755961' target='_blank'><img src='http://ads.osdn.jp/x/delivery/avw.php?zoneid=28&cb=1268755961&n=a47108c2' border='0' alt='' /></a>

関連ストーリー

アップル: Mac OS X 10.2.5アップデート 20 コメント

この議論は賞味期限が過ぎたので、保存されている。新たにコメントを書くことはできない。

Sendmail 8.12.8以前に再びバッファ・オーバーフロー脆弱性 | ログイン/アカウントの作成 | 19 個のコメント | コメント検索

<a href='http://ads.osdn.jp/x/delivery/ck.php?n=a2421cfe&cb=1268755961' target='_blank'><img src='http://ads.osdn.jp/x/delivery/avw.php?zoneid=23&cb=1268755961&n=a2421cfe' border='0' alt='' /></a>

header_checks (スコア:3, 参考になる)

namatias (4000) : 2003年03月31日 12時39分 (#290190) 日記

Wietseが、前回も今回もpostfixのところで未然に防ぐ試みをするヘッダ部のチェック方法を postfix-announce に流してくれてます。ここに書こうと思ったら、プレビュー時にエンティティが全部普通の文字になってきちんとプレビューされなかったので、興味のある人は自分で探してください。
- Re:header_checks (スコア:2, 参考になる)
  
  hsgw (14585) : 2003年03月31日 12時48分 (#290195)
  
  これ [theaimsgroup.com] かな?
  
  親コメント
  - Re:header_checks by namatias (スコア:1) 2003年03月31日 12時52分
  - Re:header_checks by kjm (スコア:1) 2003年03月31日 17時35分
- Re:header_checks by Technical Type (スコア:1) 2003年04月01日 0時55分
- 1個のコメントが現在のしきい値以下です。
ようやく (スコア:2, 参考になる)

ksb (11926) : 2003年03月31日 12時37分 (#290188) 日記

8.11系の最新版がリリースされています。

sendmail 8.11.7 [sendmail.org]

3月に出た2つのセキュリティホールが埋まっている模様。

またパッケージ作成→インストールか・・・・
先週客先のRed Hat Linux5.2に入れたばかりなのに・・・
- Re:ようやく by ultra_hawk_1 (スコア:1) 2003年03月31日 22時19分
パッチ (スコア:2, 参考になる)

k3c (4386) <reversethis-{pj. ... } {ta} {effarig}> : 2003年03月31日 12時46分 (#290193) ホームページ日記

パッチについてはsendmai.orgのPatching Sendmail [sendmail.org]の方が詳しいですね。リンクを提示しておきます。
- 1個のコメントが現在のしきい値以下です。
ため息 (スコア:1)

IKEDA Kenji (4659) : 2003年03月31日 12時58分 (#290203)

MTAとして動いているときにヘッダをparseすんの止めればいいのに。
- Re:ため息 by saitoh (スコア:1) 2003年03月31日 19時35分
  - Re:ため息 by doripush (スコア:1) 2003年03月31日 22時41分
  - Re:ため息 by Anonymous Coward (スコア:1) 2003年04月01日 3時14分
  - Re:ため息 (スコア:2, 興味深い)
    
    IKEDA Kenji (4659) : 2003年04月01日 6時29分 (#290762)
    
    UUCPなどの場合に、MTAとして動いているsendmailはヘッダをparseしないと配送できないのでしょうか?
    
    親コメント
    - 1個のコメントが現在のしきい値以下です。
  - 1個のコメントが現在のしきい値以下です。
あれ？ (スコア:1)

sinbo (5231) <sinbo@kerokerokeroppi.net> : 2003年04月02日 5時41分 (#291399)

このニュース、日本語版は１日前にここ [cyberpolice.go.jp]に出てましたよ。

--
---- sinbo

このページのすべての商標と著作権はそれぞれの所有者が有します。コメントやユーザ日記に関しては投稿者が有します。
のこりのものは、© 2001-2010 OSDN です。