A buffer overflow in header parsing exists in older versions of sendmail. It could allow a remote attacker to create a specially-crafted message that may cause sendmail(8) to execute arbitrary code with the privileges of the user running it, typically root. More information, including pointers to patches, can be found in security advisory FreeBSD-SA-03:07. This problem was corrected for FreeBSD 4.8-RELEASE with a vendor patch and was corrected for FreeBSD 4.8-STABLE with the import of a new version of sendmail. However, these changes may not otherwise have been noted in the release documentation.
sendmail 8.12.9 ではないけれども (スコア:2, 参考になる)
A buffer overflow in header parsing exists in older versions of sendmail. It could allow a remote attacker to create a specially-crafted message that may cause sendmail(8) to execute arbitrary code with the privileges of the user running it, typically root. More information, including pointers to patches, can be found in security advisory FreeBSD-SA-03:07. This problem was corrected for FreeBSD 4.8-RELEASE with a vendor patch and was corrected for FreeBSD 4.8-STABLE with the import of a new version of sendmail. However, these changes may not otherwise have been noted in the release documentation.
Re:sendmail 8.12.9 ではないけれども (スコア:1)
むしろ、ソノ点がしっかり反映されてるトコロが
FreeBSD のRELEASE たる所以かと。
#SA 眺めてて、遅れそうな予感はしてたので。
#ちなみに、アナウンス直前に
#ftp.FreeBSD.org には4.8R のdir があったけど
#Permission denied とか怒られました(笑。
自社にミラーされるのが待ち遠しい(^-^;
もうsendmail 8.12.9 ですけれども (スコア:1)
あれれ? うちの機械もCVSupでソースを同期させてますけど、
$FreeBSD: src/contrib/sendmail/FREEBSD-upgrade,v 1.1.2.16 2003/03/29 19:33:13 gshapiro Exp $
sendmail 8.12.9
originals can be found at: ftp://ftp.sendmail.org/pub/sendmail/
となってます。2003/03/29はまだ4.8-RCでしたが...
Re:もうsendmail 8.12.9 ですけれども (スコア:2, 参考になる)
それは多分4-STABLEブランチ(RELENG_4)であって、4.8-RELEASE(RELENG_4_8)じゃないと思います。
CVSWebを参照すれば判ります [freebsd.org]が、 4.8-RELEASEのタグが打たれたのはRevision 1.1.1.3.2.14.2.1。4-STABLEブランチのリビジョンは1.1.1.3.2.15。修正日は同じですがリビジョンも中身も違います(ちなみにこのファイルの中身はバージョン番号のみ)。
そうでした。4.8-RELEASEじゃなくて4-STABLEブランチ (スコア:1)
うちの機械は4-STABLEブランチでした_(..)_
sendmail ? (スコア:0)
Re:sendmail ? (スコア:1)
(今のところ。4/1のsource-changesには注意!)
Re:sendmail ? (スコア:1)
立ち上げ時のメッセージ、デーモンプロセスの構成、/etcの構造、その他いろいろなものについて、簡単には変えて欲しくないと思います。その変わらないもの「そのもの」がBSDなのだと思います。
sendmailに関しては、最近のデフォルトインストールでは自動的に 起動されないようになっています。何も知らない初心者ユーザの サーバではリモート攻撃は受けつけません。 で、次に考えることはMTAを何にしようかということですね。セキュリティ情報をチェックしながらsendmail起動のパラメータをオンする のもいいし、qmail、postfixをインストールするのも良いと思います。
Re:sendmail ? (スコア:0)