JVNDB-2010-001002

sendmail における X.509 証明書の処理に関する任意の SSL-based SMTP サーバになりすまされる脆弱性

sendmail には、X.509 証明書内の Common Name (CN) フィールドにある '\0' 文字を適切に処理しないため、任意の SSL-based SMTP サーバになりすまされる、またはアクセス制限を回避される脆弱性が存在します。
本脆弱性は CVE-2009-2408 と関連があります。

IBM

• IBM VIOS 1.5
• IBM VIOS 2.1
• IBM AIX 5.3 
• IBM AIX 6.1 

Sendmail Consortium

• sendmail 8.14.4 未満

サン・マイクロシステムズ

• OpenSolaris (sparc) 
• OpenSolaris (x86) 
• Sun Solaris 10 (sparc) 
• Sun Solaris 10 (x86) 

ターボリナックス

• Turbolinux Appliance Server 2.0  
• Turbolinux Server 10  
• Turbolinux Server 10 (x64) 

ヒューレット・パッカード

• HP-UX 11.11 
• HP-UX 11.23 
• HP-UX 11.31 

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 
• Asianux Server 3.0 
• Asianux Server 3.0 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux Desktop 4.0 
• RHEL Desktop Workstation 5 (client) 

巧妙に細工されたサーバ証明書により、中間者攻撃者に任意の SSL-based SMTP サーバになりすまされる、または、巧妙に細工されたクライアント証明書により、第三者に認証を回避される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

IBM

• IBM : 5002
• IBM Support Document : IZ72834
• IBM Support Document : IZ72835
• IBM Support Document : IZ72836
• IBM Support Document : IZ72837
• IBM Support Document : IZ89860

Sendmail Consortium

• Sendmail : 8.14.4

サン・マイクロシステムズ

• Sun Alert Notification : 275870

ターボリナックス

• Turbolinux Security Advisory (英語) : TLSA-2010-3
• 製品セキュリティ情報 : TLSA-2010-3

ヒューレット・パッカード

• HP Security Bulletin : HPSBUX02508

ミラクル・リナックス

• Asianux Technical Support Network : sendmail-8.13.8-8.0.1.AXS3
• MIRACLE LINUX アップデート情報 : 2189

レッドハット

• Red Hat Security Advisory : RHSA-2010:0237
• Red Hat Security Advisory : RHSA-2011:0262

1. 暗号の問題(CWE-310) [NVD評価]

1. CVE-2009-4565

1. National Vulnerability Database (NVD) : CVE-2009-4565
2. Secunia Advisory : SA37998
3. SecurityFocus : 37543
4. VUPEN Security : VUPEN/ADV-2009-3661

• [2010年02月02日]
    掲載
  [2010年04月02日]
    影響を受けるシステム：IBM (5002) の情報を追加
    影響を受けるシステム：ヒューレット・パッカード (HPSBUX02508) の情報を追加
    影響を受けるシステム：レッドハット (RHSA-2010:0237) の情報を追加
    ベンダ情報：IBM (5002) を追加
    ベンダ情報：ヒューレット・パッカード (HPSBUX02508) を追加
    ベンダ情報：レッドハット (RHSA-2010:0237) を追加
  [2010年05月07日]
    影響を受けるシステム：サン・マイクロシステムズ (275870) の情報を追加
    影響を受けるシステム：ミラクル・リナックス (sendmail-8.13.8-8.0.1.AXS3) の情報を追加
    ベンダ情報：サン・マイクロシステムズ (275870) を追加
    ベンダ情報：ミラクル・リナックス (sendmail-8.13.8-8.0.1.AXS3) を追加
  [2010年06月03日]
    ベンダ情報：IBM (IZ72834) を追加
    ベンダ情報：IBM (IZ72835) を追加
    ベンダ情報：IBM (IZ72836) を追加
    ベンダ情報：IBM (IZ72837) を追加
  [2011年03月18日]
    影響を受けるシステム：ミラクル・リナックス (2189) の情報を追加
    影響を受けるシステム：レッドハット (RHSA-2011:0262) の情報を追加
    ベンダ情報：ミラクル・リナックス (2189) を追加
    ベンダ情報：レッドハット (RHSA-2011:0262) を追加
  [2011年05月26日]
    ベンダ情報：IBM (IZ89860) を追加