[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: NetBSD Security Advisory 2003-002: Malformed header SendmailVulnerability
- Subject: Re: NetBSD Security Advisory 2003-002: Malformed header SendmailVulnerability
- From: Yuji Yamano <yyamano@kt.rim.or.jp>
- To: announce-ja@jp.netbsd.org, netbsd@re.soum.co.jp
- Date: Wed, 26 Mar 2003 00:10:44 +0900 (JST)
- Message-Id: <20030326.001044.28486343.yyamano@kt.rim.or.jp>
- In-Reply-To: <20030304063644.8BA6D6E08C@hastur.home>
- References: <20030304063644.8BA6D6E08C@hastur.home>
- Delivered-To: mailing list announce-ja@jp.netbsd.org
- Delivered-To: moderator for announce-ja@jp.netbsd.org
- Mailing-List: contact announce-ja-help@jp.netbsd.org; run by ezmlm-idx
このメールは、current-users に流れた
Subject: NetBSD Security Advisory 2003-002: Malformed header Sendmail Vulnerability
From: NetBSD Security Officer <security-officer@netbsd.org>
Date: Tue, 4 Mar 2003 01:36:44 -0500 (EST)
Message-Id: <20030304063644.8BA6D6E08C@hastur.home>
を、www.NetBSD.ORG 翻訳プロジェクトが日本語訳したものです。
原文は PGP 署名されていますが、この日本語訳は PGP 署名されていません。
修正パッチ等の内容が改竄されていないことを確認するために PGP 署名の
チェックを行なうには。原文を参照してください。
------------------------------ ここから ------------------------------
NetBSD Security Advisory 2003-002
=================================
トピック: 不正なヘッダーに対する sendmail の弱点
(Malformed header Sendmail Vulnerability)
バージョン: NetBSD-current: 2003 年 3 月 4 日より前のソース
NetBSD 1.6: 影響あり
NetBSD-1.5.3: 影響あり
NetBSD-1.5.2: 影響あり
NetBSD-1.5.1: 影響あり
NetBSD-1.5: 影響あり
pkgsrc: mail/sendmail, mail/sendmail811,
mail/sendmail88 がいずれも影響あり。
影響範囲: リモートから root 権限が不正使用される危険性がある。
(Possible remote root compromise)
修正日: NetBSD-current: 2003 年 3 月 4 日
NetBSD-1.6 ブランチ: 2003 年 3 月 4 日 (1.6.1 は修正ずみ)
NetBSD-1.5 ブランチ: 2003 年 3 月 4 日
pkgsrc: mail/sendmail バージョン 8.12.8
mail/sendmail811 バージョン 8.11.6nb3
で、それぞれ修正ずみ。現時点では
mail/sendmail88 は修正されていない。
背景 - Abstract
===============
攻撃者は不正な電子メールメッセージを使うことで、リモートから
sendmail デーモンプロセスの権限を不正に獲得できる可能性があります。
通常、sendmail デーモンプロセスの権限は root です。
技術的な詳細 - Technical Details
================================
Internet Security Systems (ISS) は、mail transfer agent (MTA) sendmail に
リモートから悪用可能なセキュリティー上の弱点を発見しました。この弱点は
メッセージを利用します。つまり、インターネットから直接アクセスできない
sendmail デーモンも、攻撃に対する脅威にさらされる危険性があるということです。
また、修正していない sendmail システムの場合、攻撃されたとしても
sendmail のログにはその異常が記録されません。
回避方法と解決策 - Solutions and Workarounds
============================================
sendmail を実行しているサイトは、可能な限り早くアップグレードしましょう。
現時点でアップグレードが不可能な場合は、sendmail サービスを停止させることを
おすすめします。
システム上で sendmail が実行されているかどうか調べるには、
次のコマンドを実行します。
# /etc/rc.d/sendmail status
現在実行されている sendmail プロセスを停止させるには、次のコマンドを
実行します。
# /etc/rc.d/sendmail stop
sendmail が次回の再起動時に実行されないようにするには、次のコマンドを
実行します。
# echo "sendmail=NO" >>/etc/rc.conf.d/sendmail
アップグレードが完了した後、次回の再起動時に実行されるようにするには、
/etc/rc.conf.d/sendmail の最後にある sendmail=NO という行を削除してください。
次に示す手順は、ソースツリーを更新して再構築し、新しいバージョンの
sendmail をインストールすることで、sendmail バイナリーをアップグレード
する方法を説明したものです。
* NetBSD-current:
2003 年 3 月 4 日より前の NetBSD-current は、
2003 年 3 月 4 日、もしくはそれ以降の NetBSD-current に
アップグレードする必要があります。
CVS ブランチ netbsd-current (別名 HEAD) において
更新が必要なファイルは、次のとおりです。
src/gnu/dist/sendmail/sendmail
CVS を使ってファイルを更新し、再構築・再インストールするには、
次のコマンドを実行してください。
# cd src
# cvs update -d -P gnu/dist/sendmail/sendmail
# cd gnu/usr.sbin/sendmail
# make USETOOLS=no cleandir dependall
# cd sendmail
# make USETOOLS=no install
* NetBSD 1.6:
2003 年 3 月 4 日より前の NetBSD 1.6 は、
2003 年 3 月 4 日、もしくはそれ以降の NetBSD 1.6 に
アップグレードする必要があります。
NetBSD 1.6.1 には、この弱点に対する修正が含まれる予定です。
CVS ブランチ netbsd-1-6 において
更新が必要なファイルは、次のとおりです。
src/gnu/dist/sendmail/sendmail
CVS を使ってファイルを更新し、sendmail を
再構築・再インストールするには、次のコマンドを実行してください。
# cd src
# cvs update -d -P -r netbsd-1-6 gnu/dist/sendmail/sendmail
# cd gnu/usr.sbin/sendmail
# make USETOOLS=no cleandir dependall
# cd sendmail
# make USETOOLS=no install
* NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3:
2003 年 3 月 4 日より前の NetBSD-1.5, 1.5.1, 1.5.2, 1.5.3 は、
2003 年 3 月 4 日、もしくはそれ以降の NetBSD-1.5.* に
アップグレードする必要があります。
CVS ブランチ netbsd-1-5 において
更新が必要なファイルは、次のとおりです。
src/gnu/dist/sendmail
CVS を使ってファイルを更新し、sendmail を
再構築・再インストールするには、次のコマンドを実行してください。
# cd src
# cvs update -d -P -r netbsd-1-5 gnu/dist/sendmail/sendmail
# cd gnu/usr.sbin/sendmail
# make USETOOLS=no cleandir dependall
# cd sendmail
# make USETOOLS=no install
謝辞 - Thanks To
================
Andrew Brown 氏: ソースツリーに含まれる sendmail の修正
Stoned Elipot 氏: pkgsrc の修正
改訂履歴 - Revision History
===========================
2003-03-03 初版公開
詳細と参考資料 - More Information
=================================
新しい情報が判明した場合、セキュリティー勧告は更新されることがあります。
PGP 署名されたこの勧告の最新版は、次の場所から入手できます。
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2003-002.txt.asc
NetBSD と、NetBSD のセキュリティーに関する情報は、次の場所から入手できます。
http://www.NetBSD.ORG/
http://www.NetBSD.ORG/Security/
Copyright 2003, The NetBSD Foundation, Inc. All Rights Reserved.
$NetBSD: NetBSD-SA2003-002.txt,v 1.4 2003/03/04 03:34:36 groo Exp $