TRCA-2003-25
Sendmail にバッファオーバーフローの脆弱性
sendmail のメールアドレス解析処理にバッファオーバーフローの脆弱性が発見されました。この脆弱性は、CERT Advisory CA-2003-07, CA-2003-12 において報告されている脆弱性とは異なる新たな脆弱性です。
脆弱性については、遠隔から第三者が管理者権限を取得する可能性があります。
この問題は、sendmail が悪意を持って構成されたメールアドレスを持つメッセージを受け取ることによって発生します。このため、LAN 内に設置したホスト上で稼動している sendmail であっても、他の MTA (Mail Transfer Agent) から中継された悪質なメッセージを受け取った場合、脆弱性の影響を受ける可能性があります。
影響を受けるシステム
- Sendmail バージョン 8.12.9 ならびにそれ以前
- Sendmail Switch 3.1.x (Solaris, Linux, AIX 版)
- Sendmail Switch 3.0.x (Solaris, Linux, AIX 版)
- Sendmail Switch 2.2.x (Solaris, Linux, AIX, Windows NT/2000, S390 Linux 版)
- Sendmail Switch 2.1.x (HP-UX 版)
- Sendmail Switch 2.2.xJ (Windows NT/2000 版)
- Sendmail Advanced Message Server 2.1.x (Solaris, Linux, AIX 版)
- Sendmail Advanced Message Server 2.0.x (Solaris, Linux, AIX 版)
- Sendmail Advanced Message Server 1.2 (Solaris, Linux, AIX, S390 Linux 版)
- Sendmail Advanced Message Server 1.3 (Windows 2000 版)
- Sendmail for NT Version 3.0.x
- Sendmail for NT 2.6.x
| 日時 (JST) | 内容 |
| 2003-09-17 18:19 | Bugtraq に Sendmail 8.12.9 prescan bug (a new one) [CAN-2003-0694] が投稿される
#Post-Date: Sep 17 2003 9:19AM |
| 2003-09-18 00:21 | Sendmail.org sendmail.8.12.10.tar.gz をリリース |
| 2003-09-18 00:37 | Sendmail.org parse8.359.2.8(パッチ) をリリース
#Last-Modified: Wed, 17 Sep 2003 15:37:20 GMT |
| 2003-09-18 19:01 | @Police メールサーバソフト(sendmail)の脆弱性について(9/18) を Web 公開
#Last-Modified: Thu, 18 Sep 2003 10:01:50 GMT |
| 2003-09-18 23:46 | First メーリングリスト経由で CA-2003-25 が届く
#Post-Date: Thu, 18 Sep 2003 23:37:01 JST |
| 2003-09-19 00:33 | CERT メーリングリスト経由で CA-2003-25 が届く
#Post-Date: Thu, 18 Sep 2003 23:38:42 JST |
| 2003-09-19 09:16 | JPCERT メーリングリスト経由で CA-2003-25 の FYI が届く
#Post-Date: Fri, 19 Sep 2003 09:07:56 JST |
- CERT Advisory CA-2003-25
Buffer Overflow in Sendmail - Vendor Status Note JVNCA-2003-25
Sendmail にバッファオーバーフローの脆弱性
