公開日:2003/03/31 最終更新日:2003/03/31
JVNCA-2003-12
Sendmail にバッファオーバーフローの脆弱性
sendmail のメールアドレス解析処理にバッファオーバーフローの脆弱性が発見されました。この脆弱性は、CERT Advisory CA-2003-07 において報告されている脆弱性とは異なる新たな脆弱性です。
脆弱性については、遠隔から第三者が管理者権限を取得する可能性があります。
この問題は、sendmail が悪意を持って構成されたメールアドレスを持つメッセージを受け取ることによって発生します。このため、LAN 内に設置したホスト上で稼動している sendmail であっても、他の MTA (Mail Transfer Agent) から中継された悪質なメッセージを受け取った場合、脆弱性の影響を受ける可能性があります。
- Sendmail バージョン 8.12.8 ならびにそれ以前
- Sendmail Pro (全バージョン)
- Sendmail Switch 2.1 (2.1.5 ならびにそれ以前)
- Sendmail Switch 2.2 (2.2.5 ならびにそれ以前)
- Sendmail Switch 3.0 (3.0.3 ならびにそれ以前)
- Sendmail for NT 2.X (2.6.2 ならびにそれ以前)
- Sendmail for NT 3.0 (3.0.3 ならびにそれ以前)
サービス運用妨害 (denial-of-service, DoS) 攻撃を受けたり、遠隔から第三者が管理者権限を取得する可能性があります。
| ベンダ | リンク |
| Debian | sendmail -- 文字から整数値への変換の脆弱性 |
| Debian | sendmail-wide -- char-to-int conversion |
| Foretune | |
| Foretune | |
| FreeBSD | |
| 富士通 | CA-2003-12に対する富士通の情報 |
| 富士通 | CA-2003-12に対するSolaris OEの情報 |
| 日立 | Sendmailのバッファオーバーフローに関するセキュリティ問題の説明 |
| 日本ヒューレット・パッカード | SSRT3531 sendmailにおけるセキュリティ脆弱性 |
| MIRACLE LINUX | sendmail セキュリティ |
| OpenBSD | セキュリティのための修正: 2003 年 3 月 31 日 |
| Red Hat | sendmailパッケージのアップデート |
| Red Hat | sendmailパッケージのアップデート |
| NetBSD | |
| 日本SCO | |
| Sendmail Consortium | Sendmail Home Page |
| Sendmail Consortium | Patching Sendmail |
| Sendmail, Inc. | Sendmail Security Patch Information |
| SGI | |
| サン・マイクロシステムズ | sendmail(1M) Parses Addresses Incorrectly in Certain Corner Cases |
| Turbolinux Japan | バッファオーバーフローの問題 |
-
JVNCA-2003-07
Sendmail に遠隔から攻略可能な脆弱性 -
CERT Vulnerability Note VU#897604
Sendmail address parsing buffer overflow -
CIAC Bulletin N-067
Sendmail MTA Buffer Overflow Vulnerability -
Internet Security Systems
Sendmail のEmail 処理における脆弱点について -
ISS X-Force Database: sendmail-address-parser-bo (11653)
Sendmail address parser buffer overflow -
IPA セキュリティセンター(IPA/ISEC)
Sendmail における新たなセキュリティ脆弱性について -
警察庁
メールサーバソフト(sendmail)の脆弱性(CA-2003-12)について -
警察庁
メールサーバソフト(sendmail)の脆弱性(CA-2003-12)の調査結果について -
LAC
CERT Advisory CA-2003-12 Buffer Overflow in Sendmail [翻訳版]
| JPCERT 緊急報告 |
JPCERT-AT-2003-0004 JPCERT/CC Alert 2003-03-31, 新たな sendmail の脆弱性に関する注意喚起 |
| JPCERT REPORT |
JPCERT-WR-2003-1301 JPCERT/CC REPORT 2003-04-02 |
| CERT Advisory |
CERT Advisory CA-2003-12 Buffer Overflow in Sendmail |
| CPNI Advisory | |
| TRnotes | |
| CVE |
CAN-2003-0161 VU#897604,XF11653 |
| JVN iPedia |
