【活用ガイド】

JVNDB-2003-000061

 Sendmail に遠隔から攻略可能な脆弱性

概要

sendmail のメッセージ処理にバッファオーバーフローの脆弱性が発見されました。脆弱性については、遠隔から第三者が管理者権限を取得する可能性があります。

この問題は、sendmail が悪意を持って構成されたヘッダ情報を持つメッセージを受け取ることによって発生します。このため、LAN 内に設置したホスト上で稼動している sendmail であっても、他の MTA (Mail Transfer Agent) から中継された悪質なメッセージを受け取った場合、脆弱性の影響を受ける可能性があります。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


Debian
  • Debian GNU/Linux 2.2 未満のバージョン
FreeBSD
  • FreeBSD 4.8 未満のバージョン
  • FreeBSD 5.0 未満のバージョン
IBM
  • IBM AIX 5.1 
  • IBM AIX 5.2 
  • IBM AIX 4.3 
NetBSD
  • NetBSD 1.5 
  • NetBSD 1.5.1 
  • NetBSD 1.5.2 
  • NetBSD 1.5.3 
  • NetBSD 1.6 
SCO
  • Open UNIX 8.0.0 
  • OpenLinux 3.1.1 (server) およびそれ以前
  • OpenLinux 3.1.1 (workstation) およびそれ以前
  • UnixWare 7.1.1  
  • UnixWare 7.1.3  
Sendmail Consortium
  • sendmail 8.12.7 およびそれ以前
SGI
  • IRIX 6.5 
アップル
  • Apple Mac OS X 10.1.5
  • Apple Mac OS X 10.2.4
サン・マイクロシステムズ
  • Sun Linux 5.0
  • Sun Solaris 2.6 (sparc) 
  • Sun Solaris 2.6 (x86) 
  • Sun Solaris 7.0 (sparc) 
  • Sun Solaris 7.0 (x86) 
  • Sun Solaris 8 (sparc) 
  • Sun Solaris 8 (x86) 
  • Sun Solaris 9 (sparc) 
  • Sun Solaris 9 (x86) 
  • Sun Cobalt Qube3
  • Sun Cobalt RaQ3
  • Sun Cobalt RaQ4
  • Sun Cobalt RaQ550
  • Sun Cobalt RaQXTR
センドメール社
  • Sendmail for NT 2.X (2.6.1 およびそれ以前)
  • Sendmail for NT NT 3.0 (3.0.2 およびそれ以前)
  • Sendmail Pro (全バージョン)
  • Sendmail Switch 2.1 (2.1.4 およびそれ以前)
  • Sendmail Switch 2.2 (2.2.4 およびそれ以前)
  • Sendmail Switch 3.0 (3.0.2 およびそれ以前)
ターボリナックス
  • Turbolinux Advanced Server 6  
  • Turbolinux Server 6.5  
  • Turbolinux Server 7  
  • Turbolinux Server 8  
  • Turbolinux Server 6.1  
  • Turbolinux Workstation 7  
  • Turbolinux Workstation 8  
  • Turbolinux Workstation 6.0  
トレンドマイクロ
  • TrendMicro InterScan VirusWall
ヒューレット・パッカード
  • HP-UX 10.10 
  • HP-UX 10.20 
  • HP-UX 11.00 
  • HP-UX 11.04 
  • HP-UX 11.11 
  • HP-UX 11.22 
フォア・チューン
  • BSD/OS 4.3.1  未満のバージョン
  • BSD/OS 4.2  未満のバージョン
レッドハット
  • Red Hat Enterprise Linux 2.1 (as) 
  • Red Hat Enterprise Linux 2.1 (es) 
  • Red Hat Enterprise Linux 2.1 (ws) 
  • Red Hat Linux 6.2  
  • Red Hat Linux 7.0  
  • Red Hat Linux 7.1  
  • Red Hat Linux 7.2  
  • Red Hat Linux 7.3  
  • Red Hat Linux 8.0  
  • Red Hat Linux Advanced Workstation 2.1 
日本電気
  • EWS-UX r10 
  • EWS-UX r9 
  • UP-UX r5 
  • UP-UX r6 
  • UP-UX r7 
  • UX4800シリーズ
日立
  • HI-UX/WE2 06-10 未満のバージョン
  • HI-UX/WE2 07-10 未満のバージョン
富士通
  • Internet Navigware Server
  • Interstage CollaborationRing PM
  • Interstage CollaborationRing TPM
  • Interstage Office Square
  • SystemWalker IT BudgetMGR
  • SystemWalker PerfMGR
  • TeamWARE Office

想定される影響

遠隔から第三者が管理者権限を取得する可能性があります。
対策

ベンダ情報及び参考情報を参照して適切な対策を実施してください。
ベンダ情報

Debian
  • Debian セキュリティ警告 : DSA-257-1
FreeBSD
  • FreeBSD セキュリティ勧告 : 1112
IBM NetBSD SCO Sendmail Consortium SGI アップル サン・マイクロシステムズ センドメール社 ターボリナックス トレンドマイクロ
  • トレンドマイクロ サポート情報 : 25880
ヒューレット・パッカード フォア・チューン レッドハット 日本電気 日立
  • ソフトウェア製品セキュリティ情報 : HS03-001
富士通
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 古典的バッファオーバーフロー(CWE-120) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2002-1337
参考情報

  1. JVN : JVNCA-2003-07
  2. National Vulnerability Database (NVD) : CVE-2002-1337
  3. JPCERT 緊急報告 : JPCERT-AT-2003-0002
  4. JPCERT REPORT : JPCERT-WR-2003-1001
  5. 警察庁 @police : メールサーバソフト(sendmail)の検証結果について
  6. 警察庁 @police : メールサーバソフト(sendmail)の脆弱性について
  7. CERT Advisory : CA-2003-07
  8. US-CERT Vulnerability Note : VU#398025
  9. IPA 緊急対策情報 : Sendmail における深刻なセキュリティ脆弱性について
  10. CIAC Bulletins : N-048
  11. SecurityFocus : 6991
  12. X-Force Security Alerts and Advisories : 21950
  13. X-Force セキュリティアラート&アドバイザリ : Sendmailのヘッダー処理に対する脆弱性
  14. ISS X-Force Database : 10748
  15. ISS X-Force Database : 11653
更新履歴

  • [2007年04月01日]
      掲載
    [2007年08月28日]
      影響を受けるシステム:ヒューレット・パッカード (HPSBUX00246) の情報追加。
      ベンダ情報: ヒューレット・パッカード (HPSBUX00246) 追加。
  • [2024年03月01日]
      CWE による脆弱性タイプ一覧:内容を更新

公表日2003/03/03
登録日2007/04/01
最終更新日2024/03/01