Sendmail 8.12.8以前に再びバッファ・オーバーフロー脆弱性 19
ストーリー by Oliver
MTA選択の自由と責任 部門より
MTA選択の自由と責任 部門より
k3c 曰く、 "先日バッファ・オーバーフロー脆弱性が見つかったばかりのSendmailに再びバッファ・オーバーフロー脆弱性が発見された(Sendmail社の告知、CERT Advisory、JPCERT/CC Vendor Status Notes)。前回とは違う箇所だが、バグの性質は前回と同じくメールアドレスの処理に問題があるというもので、つまり、メール転送の途中経路や末端にあるSendmailサーバーでも脆弱性をついた攻撃が成立するということも同じだ。既にSendmail社からpatchが提供されているということなので速やかに当てておくべし。各ベンダの対応情報は前回と同じくJVNCAに期待しよう。
ところで、前回の脆弱性について、もう一方の雄、Postfixが長過ぎるアドレスをtruncateしてくれる機能を追加してくれましたが、今回の脆弱性についてもこの機能は有効と理解して良いのでしょうか?識者のフォロー求む。"
header_checks (スコア:3, 参考になる)
Re:header_checks (スコア:2, 参考になる)
Re:header_checks (スコア:1)
Re:header_checks (スコア:1)
Re:header_checks (スコア:1)
Re:header_checks (スコア:0)
ようやく (スコア:2, 参考になる)
sendmail 8.11.7 [sendmail.org]
3月に出た2つのセキュリティホールが埋まっている模様。
またパッケージ作成→インストールか・・・・
先週客先のRed Hat Linux5.2に入れたばかりなのに・・・
Re:ようやく (スコア:1)
Sendmail 8.11.8
なんですけど……。でも本文中には8.11.7と書いてあるし。
100台近くあるマシンにまた入れていかないといけないので憂鬱です。
パッチ (スコア:2, 参考になる)
Re:パッチ (スコア:0)
ように読めたのは甘い??
かく言っても私はひたすらFreeBSDで make update ; make world
しまくってまふが・・・・・・さすが15台はつらひ。。。
ため息 (スコア:1)
Re:ため息 (スコア:1)
Re:ため息 (スコア:1)
Re:ため息 (スコア:0)
純粋に疑問です。それ以外の機能って、 MTA に要求されるべきなんでしょうか?
Re:ため息 (スコア:1, 興味深い)
でも、少なくともその手の作業は全部root権限落としてからやって欲しいですね。
sendmailがどうなっているかは調べたこと無いですが。
もっとも、権限落としたら落としたで、rootな部分と通信しなければならないですから、通信部分がバグっていると、新たなセキュリティホールになります。それでも、バイナリで通信すればいいのと、通信相手が1種類しかいなくて、チェック基準を相当厳しくできるのとで、少しは楽でしょう。
Re:ため息 (スコア:0)
UUCP など、TCP/IP とは別の手段を使う場合、それらの上で「メールを配送する」機能が必要になります。
Re:ため息 (スコア:2, 興味深い)
Re:ため息 (スコア:0)
[8] ヘッダの扱い - インターネットメールの注意点: [so-net.ne.jp]
# 上のコメントのどこが参考になる?
あれ? (スコア:1)
---- sinbo