公開日:2006/06/15 最終更新日:2015/10/21

JVNVU#146718
Sendmail における マルチパート MIME メッセージ処理に関する脆弱性

概要


Sendmail には、マルチパート MIME メッセージの処理に脆弱性があり、巧妙に細工されたメールを受信するとサーバのメモリを異常消費し、Sendmail のプロセスが異常終了する可能性があります。

影響を受けるシステム

  • Sendmail 8.13.6 およびそれ以前

詳細情報

想定される影響


遠隔の第三者によって巧妙に細工されたマルチパート MIME メッセージを受信した直後に Sendmail サービスが停止することはありませんが、そのメッセージの解析時にサーバのリソースを異常消費する可能性があります。また、その状況が多重発生することにより、Sendmail サーバが DoS 攻撃を受ける可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
インターネットイニシアティブ 該当製品無し 2006/06/15
ジャストシステム 該当製品無し 2006/06/15
センチュリー・システムズ 該当製品無し 2006/06/15
ターボリナックス 該当製品あり 2006/06/30
ビー・ユー・ジー 該当製品無し 2006/08/25 ビー・ユー・ジー の告知ページ
ヤマハ 該当製品無し 2006/06/15
リコー 該当製品無し 2006/06/15
富士通株式会社 該当製品あり 2015/10/13
日本電気 該当製品無し 2006/06/15
日立 該当製品無し(調査中) 2006/06/15
松下電器産業 該当製品無し(調査中) 2006/07/14
横河電機 該当製品無し(調査中) 2006/06/15
ベンダ リンク
Sendmail.org Sendmail 8.13.7
Sendmail.com Deeply nested malformed MIME denial of service attack
Sendmail.com 深いネスト構造を持つ不正なMIMEメッセージによるサービス妨害攻撃

参考情報

  1. US-CERT Vulnerability Note VU#146718
    Sendmail fails to handle malformed multipart MIME messages

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2006-0008
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CAN-2006-1173
JVN iPedia

更新履歴

2006/06/15
リコーの JVNVU#146718への対応が更新されました。
2006/06/15
センチュリー・システムズの JVNVU#146718への対応が更新されました。
2006/06/15
横河電機の JVNVU#146718への対応が更新されました。
2006/06/15
株式会社インターネットイニシアティブの JVNVU#146718への対応が更新されました。
2006/06/15
ジャストシステムの JVNVU#146718への対応が更新されました。
2006/06/15
ヤマハの JVNVU#146718への対応が更新されました。
2006/06/15
ビー・ユー・ジーの JVNVU#146718への対応が更新されました。
2006/06/15
富士通の JVNVU#146718への対応が更新されました。
2006/06/15
日立の JVNVU#146718への対応が更新されました。
2006/06/15
日本電気の JVNVU#146718への対応が更新されました。
2006/06/29
ベンダ情報:富士通の情報を更新しました。
2006/06/29
富士通の JVNVU#146718への対応が更新されました。
2006/06/30
ベンダ情報:ターボリナックスの情報を追加しました。
2006/06/30
ターボリナックスの JVNVU#146718への対応が更新されました。
2006/07/14
ベンダ情報:松下電器産業の情報を追加しました。
2006/07/14
松下電器産業株式会社の JVNVU#146718への対応が更新されました。
2006/08/25
ビー・ユー・ジーの JVNVU#146718への対応が更新されました。
2006/09/28
ベンダ情報:富士通の情報を更新しました。
2006/09/28
富士通の JVNVU#146718への対応が更新されました。
2015/10/21
富士通株式会社のベンダステータスが更新されました