【詳細情報】ベンダー各社がPineのセキュリティアップデートを発表

◆概要：
　ベンダー各社では、複数のリモートで悪用可能なバッファオーバーフローを修正するPine電子メールクライアント用セキュリティアップデートのリリースを開始した。

　Pineは、Linuxオペレーティングシステムで利用できる人気の高いオープンソース電子メールクライアントである。Pineは、電子メールアドレスを分析し、文字をエスケープする場合、アドレスのエスケープされたメールボックス部分を保存するために十分なメモリーを割り当てないため、バッファオーバーフローが発生し、Pineがクラッシュすることになる。

　攻撃用プログラムは一般に公開されていないが、Pineには過去からリモートで悪用可能な重大なセキュリティ欠陥が報告されている。FreeBSD Project及びOpenBSD Projectでは、ポートツリー（ソフトウェアパッケージのビルドとインストールを簡単に行うための方法）を使用する場合に、Pineのセキュリティ問題に注意するよう警告を含めている。

◆情報ソース：
・BugTraq (Linus Sj?erg, lsjoberg@aland.net ), Sept. 23, 2002
・University of Washington ( http://www.washington.edu/pine/ ), Nov. 21, 2002
・Guardian Digital Inc. (ESA-20021127-032), Nov. 27, 2002
・SuSE Inc. (SuSE-SA:2002:046), Nov. 25, 2002
・MandrakeSoft Inc. (MDKSA-2002:084), Dec. 02, 2002
・Gentoo Technologies Inc. (GLSA:pine), Dec. 02, 2002

◆キーワード：
　Linux Mandrake 8.1 Linux Mandrake 8.0
　Linux Mandrake 7.2 Linux Mandrake 7.1

◆分析：
　(iDEFENSE 米国) Pineは、現在最も人気の高いUnix電子メールアプリケーションであり、ほとんどのベンダーがデフォルトでPineをインストールしている。ほとんどのメールプログラムと同様に、多様な電子メールRFCドキュメントに存在するあいまいさを扱うことに問題がある。可能な限り電子メールをフィルタし、ウイルス、非常に長い件名やヘッダー情報、その他の実行可能な形式の危険なコンテンツをブロックするべきである。

◆検知方法：
　次の製品及びベンダーで脆弱性が確認されている。

・Pineの4.50より以前のバージョンで脆弱性が確認されている。
・MandrakeSoft社では、Mandrake Linuxバージョン7.2、8.0、8.1、8.2で脆弱性を確認している。
・Gentoo Technologies社では、Gentoo Linuxの全バージョンで脆弱性を確認している。
・SuSE社では、SuSE Linux 7.1、7.2、7.3、8.0、8.1、SuSE Linux Database Server、SuSE eMail Server III、SuSE Firewall Adminhost VPN、SuSE Linux Admin-CD for Firewall、SuSE Firewall on CD 2 - VPN、SuSE Firewall on CD 2、SuSE Linux Enterprise Server for S/390、SuSE Linux Connectivity Server、SuSE Linux Enterprise Server 7 for IA32、SuSE Linux Office Serverで脆弱性を確認している。
・Guardian Digital社では、EnGarde Secure Linuxで脆弱性を確認している。
・レッドハット社では、Hat Linux 7.2及び7.3で脆弱性を確認している。バージョン6.2、7.0、7.1、8.0でも脆弱性が疑われる。
・サンマイクロシステムズ社では、Pineを持つSolaris x86で脆弱性を確認している。
・全UNIX、Linux、BSDベンダーが脆弱である可能性がある。
　Pine 4.44は脆弱であるため、このバージョンをサポートするほぼすべてのUnixシステムが脆弱であると考えられる。

◆暫定処置：
　電子メールをフィルタする。これは、ほとんどのメールサーバーパッケージで可能である。アドレスにある特殊文字をフィルタすることにより、悪用の効果を軽減でき、（例えば、シェルコードのブロックなど）ほとんどのPineベースのシステムを保護できるはずである。電子メールアドレスからフィルタして除外する特殊文字には、8進法エンコーディング1 (SOH)、2 (STX)、3 (ETX)、4 (EOT)、5 (ENQ)、6 (ACK)、7 (BEL)、10 (BS)、11 (TAB)、12 (LF)、13 (VT)、14 (FF)、15 (CR)、16 (SO)、17 (SI)、20 (DLE)、21 (DC1)、22 (DC2)、23 (DC3)、24 (DC4)、25 (NAK)、26 (SYN)、27 (ETB)、30 (CAN)、31 (EM)、32 (SUB)、33 (ESC)、34 (FS)、35 (GS)、36 (RS)、37 (US)、177 (DEL)を持つASCII文字が含まれる。

　これらの文字はすべて印刷できない文字であるが、正当な電子メールに含まれる可能性は低い。

◆ベンダー情報：
　次のアップデート及びパッチが発表されている。

・Washington Universityが発表したPine 4.50は、 http://www.washington.edu/pine/getpine/ で入手可能。
・MandrakeSoft社が発表したセキュリティアップデートは、 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2002:084 で入手可能。
・SuSE社が発表したアップデートは、 http://www.suse.de/de/security/2002_046_pine.html で入手可能。
・Gentoo Technologies社では、次のコマンドを使って取得可能なアップデートパッケージを発表している。
　emerge rsync
　emerge pine
　emerge clean
・Guardian Digital Upgrade Networkを介して利用できるGuardian Digitalが発表したアップデートは、 http://ftp.engardelinux.org/pub/engarde/stable/updates/ で入手可能。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【09:58 GMT、12、03、2002】