【詳細情報】SCO Group社がSendmailのセキュリティアップデートをリリース | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.24(火)

【詳細情報】SCO Group社がSendmailのセキュリティアップデートをリリース

国際 海外情報

◆概要:
 SCO Group社は、iDEFENSE LabsがThe Sendmail Consortiumの電子メールクライアント、Sendmailのsmrshパッケージで発見した欠陥に対処したセキュリティアップデートを再リリースした。

 Sendmailは、Unixオペレーティングシステムで利用可能な人気のあるオープンソース電子メールクライアントである。smrshパッケージにより、Sendmailは制限付きでバイナリを実行できる。しかし、Sendmailには攻撃者がsmrshによる制限を回避できる欠陥が存在する(ID# 111936, Sept. 25, 2002)。


◆情報ソース:
・NetBSD Project (NetBSD-SA2002-023), Oct. 08, 2002
・OpenBSD Project (OpenBSD Errata), Nov. 06, 2002
・FreeBSD Project (FreeBSD-SA-02:41), Nov. 12, 2002
・SCO Group (CSSA-2002-052.0), Nov. 21, 2002
・MandrakeSoft Inc. (MDKSA-2002:083), Nov. 28, 2002
・Sendmail Consortium ( http://www.sendmail.org/smrsh.adv.txt ), Oct. 01, 2002
・The SCO Group (CSSA-2002-052.1), Dec. 18, 2002

◆キーワード:
 Caldera: OpenLinux Server Caldera: OpenLinux Workstation

◆分析:
 (iDEFENSE米国)これは、Sendmailを搭載しているほぼ全てのシステムに影響を及ぼす深刻な欠陥である。すぐに当該欠陥に対処する必要がある。

◆検知方法:
 Sendmail 8.12.6、Sendmail 8.11.6-15は、脆弱なバージョンのsmrshと一緒に出荷されている。声明を発表しているベンダーは以下の通り。

・Caldera OpenLinux 3.1、3.1.1のサーバー、ワークステーションで脆弱性が確認されている。
・FreeBSD 4.3から4.7、-CURRENTで脆弱性が確認されている。
・OpenBSD 3.0、3.1、3.2で脆弱性が確認されている。
・NetBSD 1.5、1.5.1、1.5.2、1.5.3、1.6で脆弱性が確認されている。2002年10月3日以前のNetBSD-currentで脆弱性が確認されている。
・MandrakeSoft社は、Mandrake Linux 7.2、8.0、8.0/PPC、8.1、8.1/IA64、8.2、8.2/PPC、9.0で脆弱性を確認している。
・Red Hat 6.0、7.0、7.1、7.2、7.3、8.0が脆弱である。

◆ベンダー情報:
 ベンダーがリリースしているパッチ、ソースコードのアップデート、バイナリパッケージは、以下のロケーションで入手可能。

・The Sendmail Consortiumが発表したパッチは、 http://www.sendmail.org/patches/smrsh-20020924.patch で入手可能。
・The SCO Group社が再リリースしたCaldera OpenLinuxのアップデートは、 ftp://ftp.sco.com/pub/security/OpenLinux/CSSA-2002-052.1.txt で入手可能。
・MandrakeSoft社がリリースしたアップデートは、 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2002:083 で入手可能。
・The FreeBSD Projectが発表したアップグレード手順、パッチの詳細は、 ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02.41.smrsh.asc で入手可能。
・The OpenBSD Projectがリリースしたパッチは以下の通り。
・OpenBSD 3.0のパッチは、 ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.0/common/034_smrsh.patch で入手可能。
・OpenBSD 3.1のパッチは、 ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.1/common/017_smrsh.patch で入手可能。
・OpenBSD 3.2のパッチは、 ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.2/common/003_smrsh.patch で入手可能。
・NetBSDが発表したソースコードのアップデートは、以下のコマンドを用いてCVSから入手可能。コマンドの実行後、再コンパイルして、smrshソフトウェアをインストールする必要がある。
 cvs update -d -P gnu/dist/sendmail/smrsh
 尚、この件に関する詳細は、 ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-023.txt.asc で入手可能。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【05:33 GMT、12、20、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  3. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  4. SMSによる二要素認証が招くSOS(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. フィッシング詐欺支援サービスの価格表(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. Mac OS X のシングルユーザモードの root アクセス(2)

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. 「過激派の」Tails や Tor を使っている? おめでとう、あなたは NSA のリストに載っている~Linux 情報サイトの読者や、プライバシーに関心を持つネット市民が標的にされているとの報告(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×