パスワードを忘れた? アカウント作成
Close
6545 story

Sendmail 8.12.9以前に新たなバッファ・オーバーフロー脆弱性 17

ストーリー by yasu
管理者はつらいよ 部門より

umq曰く、"Sendmailに新たなバッファ・オーバーフロー脆弱性が Michal Zalewski のメールで明らかになった。 この問題に対処したSendmail8.12.10もリリースされている
この問題は各ベンダに告知済らしく、対応パッチが適用されたバージョンがおのおの利用可能になっているようだ(e.g.: FreeBSD Security Advisory, Red Hat の告知)
sendmail を使用しているサイトは、急いで対応する必要があるだろう。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Sendmail 8.12.9以前に新たなバッファ・オーバーフロー脆弱性 More

  • 商用sendmailは? (スコア:4, 参考になる)

    by Henrich (121) on 2003年09月18日 19時24分 (#399878)
    商用版(for Win)を入れたばっかりだったので、気になって
    ベンダーに問い合わせしてみました。

    やっぱり、影響があるようで sendmail.comのページ [sendmail.com] から
    Sendmail Switch Patch 2.2.8 for Windows を入れてくれ、
    との回答でした。

    うぅ、昨日納入終わったばっかりなのに、また行かなきゃいかん。。。

  • sendmail8.12.x 以外への対処 (スコア:2, 参考になる)

    by Anonymous Coward on 2003年09月18日 13時59分 (#399789)
    いままでのパッチをすべてあてている人は、このパッチだけ対処すればOKでしょうか。
    http://www.sendmail.org/patches/parse8.359.2.8

    sendmail8.9.3p2(+3.2W), sendmail8.11.7(+3.4W) には使えました。

  • OpenBSD-3.3 STABLE005 (スコア:2, 参考になる)

    by Anonymous Coward on 2003年09月18日 17時44分 (#399851)
    パッチ当て
            cd /usr/src
            patch -p0 005_sendmail.patch

    それから、sendmailの再構築とインストールを以下のように行って下さい。
            cd gnu/usr.sbin/sendmail
            make depend
            make
            make install

    必要であれば、sendmailを再起動して下さい。
            kill -HUP `sed q /var/run/sendmail.pid`

    ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.3/common/005_sendmail.patch

  • 放置プレイ (スコア:1)

    by fengshen (11985) on 2003年09月18日 14時55分 (#399803) 日記
    うちンとこのネットワーク管理部によると、
    「とるにたらない穴なので放置」だそうです。
    ・・・いいんだろうか。

    • Re:放置プレイ (スコア:2, 興味深い)

      by Anonymous Coward on 2003年09月18日 15時19分 (#399811)
      http://lists.netsys.com/pipermail/full-disclosure/2003-September/010287.html
      によれば

      There seems to be a remotely exploitable vulnerability in Sendmail

      なんですがね。
      シェア
      親コメント

    • Re:放置プレイ (スコア:0)

      by Anonymous Coward
      まぁ上流の MTA で遮断出来ていればそれでもいいかと。

      • 放置プレイはダメっぽい (スコア:2, 参考になる)

        by k3c (4386) on 2003年09月19日 11時40分 (#400159) ホームページ 日記
        JVNCA-2003-25 [keio.ac.jp]によれば:
        この問題は、sendmail が悪意を持って構成されたメールアドレスを持つメッセージを受け取ることによって発生します。このため、LAN 内に設置したホスト上で稼動している sendmail であっても、他の MTA (Mail Transfer Agent) から中継された悪質なメッセージを受け取った場合、脆弱性の影響を受ける可能性があります。
        ということなので、上流のMTA(sendmailに限らず、今回の脆弱性に対して対策されていないもの)が遮断せずに流してしまうと下流のsendmailでもだめみたいですね。Sendmail社のSecurity Alert [sendmail.com]にも:
        Although a patched firewall MTA will make an attack harder, in many cases it is not sufficient to prevent attacks. Firewall MTAs should be updated first, but all other sendmail MTAs should be updated promptly. Non-sendmail MTAs will not protect internal MTAs.
        と書かれていますので、全てのsendmail稼働マシンに対策を施すべきでしょう。

        以前に、メールアドレスがトリガになるsendmailの脆弱性に対して、Postfixが対策パッチを出したことがあったような記憶が。
        …あ、これですね:Postfix 2.0.6リリース、Sendmailの脆弱性に対処 [srad.jp]。今回はなんか出るのかなあ。
        シェア
        親コメント

  • 別にいいや (スコア:0)

    by Anonymous Coward on 2003年09月18日 16時20分 (#399827)
    sendmail使わなくなって久しいなぁ……。

    でも、ここんとこそんなにヒドイの出てなかったよね?

    sendmailのシェアって、一時期に比べてどのくらいなんだろう?

    postfix使いなのでAC

    • Re:別にいいや (スコア:0)

      by Anonymous Coward
      >sendmailのシェアって、一時期に比べてどのくらいなんだろう?
      わかんないけど、うちの場合(社内用途)だと

      sendmail x10
      postfix x3
      qmail x2

      って感じだからまぁそれなりにあるんじゃないの?
      sendmailの入れ替え作業は簡単だからちゃっちゃとすませちゃいました。

    • 最近のは (スコア:0)

      by Anonymous Coward
      3/31のコレ [srad.jp]かな。

      • Re: 最近のは (スコア:1)

        by xinu (10575) on 2003年09月19日 1時18分 (#399997) ホームページ
        「最近」ので気になるのはparseaddr()とかで、むかーしから殆んど基本的に
        いない変わって部分というのが嫌ですね。過去殆んど全部のバージョンが...。

        一方でバイナリ一つ置き換えれば済むところが、sendmailのお手軽ありがたい
        ところかと思っています。

        きっと、sendmai 5.Xベースとかも生き残ってるだろうし。

        (postfixも、こっそり癖のある設定が存在するしなぁ。)
        シェア
        親コメント
typodupeerror

人生unstable -- あるハッカー