【詳細情報】SCO Group社がSendmailのセキュリティアップデートをリリース

◆概要：
　SCO Group社は、iDEFENSE　LabsがThe Sendmail Consortiumの電子メールクライアント、Sendmailのsmrshパッケージで発見した欠陥に対処したセキュリティアップデートを再リリースした。

国際海外情報

2003年1月10日（金） 12時00分

◆概要：
　SCO Group社は、iDEFENSE　LabsがThe Sendmail Consortiumの電子メールクライアント、Sendmailのsmrshパッケージで発見した欠陥に対処したセキュリティアップデートを再リリースした。

　Sendmailは、Unixオペレーティングシステムで利用可能な人気のあるオープンソース電子メールクライアントである。smrshパッケージにより、Sendmailは制限付きでバイナリを実行できる。しかし、Sendmailには攻撃者がsmrshによる制限を回避できる欠陥が存在する（ID# 111936, Sept. 25, 2002）。

◆情報ソース：
・NetBSD Project (NetBSD-SA2002-023), Oct. 08, 2002
・OpenBSD Project (OpenBSD Errata), Nov. 06, 2002
・FreeBSD Project (FreeBSD-SA-02:41), Nov. 12, 2002
・SCO Group (CSSA-2002-052.0), Nov. 21, 2002
・MandrakeSoft Inc. (MDKSA-2002:083), Nov. 28, 2002
・Sendmail Consortium ( http://www.sendmail.org/smrsh.adv.txt ), Oct. 01, 2002
・The SCO Group (CSSA-2002-052.1), Dec. 18, 2002

◆キーワード：
　Caldera: OpenLinux Server Caldera: OpenLinux Workstation

◆分析：
　（iDEFENSE米国）これは、Sendmailを搭載しているほぼ全てのシステムに影響を及ぼす深刻な欠陥である。すぐに当該欠陥に対処する必要がある。

◆検知方法：
　Sendmail 8.12.6、Sendmail 8.11.6-15は、脆弱なバージョンのsmrshと一緒に出荷されている。声明を発表しているベンダーは以下の通り。

・Caldera OpenLinux 3.1、3.1.1のサーバー、ワークステーションで脆弱性が確認されている。
・FreeBSD 4.3から4.7、-CURRENTで脆弱性が確認されている。
・OpenBSD 3.0、3.1、3.2で脆弱性が確認されている。
・NetBSD 1.5、1.5.1、1.5.2、1.5.3、1.6で脆弱性が確認されている。2002年10月3日以前のNetBSD-currentで脆弱性が確認されている。
・MandrakeSoft社は、Mandrake Linux 7.2、8.0、8.0/PPC、8.1、8.1/IA64、8.2、8.2/PPC、9.0で脆弱性を確認している。
・Red Hat 6.0、7.0、7.1、7.2、7.3、8.0が脆弱である。

◆ベンダー情報：
　ベンダーがリリースしているパッチ、ソースコードのアップデート、バイナリパッケージは、以下のロケーションで入手可能。

・The Sendmail Consortiumが発表したパッチは、 http://www.sendmail.org/patches/smrsh-20020924.patch で入手可能。
・The SCO Group社が再リリースしたCaldera OpenLinuxのアップデートは、 ftp://ftp.sco.com/pub/security/OpenLinux/CSSA-2002-052.1.txt で入手可能。
・MandrakeSoft社がリリースしたアップデートは、 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2002:083 で入手可能。
・The FreeBSD Projectが発表したアップグレード手順、パッチの詳細は、 ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02.41.smrsh.asc で入手可能。
・The OpenBSD Projectがリリースしたパッチは以下の通り。
・OpenBSD 3.0のパッチは、 ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.0/common/034_smrsh.patch で入手可能。
・OpenBSD 3.1のパッチは、 ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.1/common/017_smrsh.patch で入手可能。
・OpenBSD 3.2のパッチは、 ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.2/common/003_smrsh.patch で入手可能。
・NetBSDが発表したソースコードのアップデートは、以下のコマンドを用いてCVSから入手可能。コマンドの実行後、再コンパイルして、smrshソフトウェアをインストールする必要がある。
　cvs update -d -P gnu/dist/sendmail/smrsh
　尚、この件に関する詳細は、 ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-023.txt.asc で入手可能。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【05:33 GMT、12、20、2002】

《ScanNetSecurity》