【詳細情報】SCO Group社がSendmailのセキュリティアップデートをリリース | ScanNetSecurity
2025.12.10(水)

【詳細情報】SCO Group社がSendmailのセキュリティアップデートをリリース

◆概要:
 SCO Group社は、iDEFENSE LabsがThe Sendmail Consortiumの電子メールクライアント、Sendmailのsmrshパッケージで発見した欠陥に対処したセキュリティアップデートを再リリースした。

国際 海外情報
23 views
facebookLINE
◆概要:
 SCO Group社は、iDEFENSE LabsがThe Sendmail Consortiumの電子メールクライアント、Sendmailのsmrshパッケージで発見した欠陥に対処したセキュリティアップデートを再リリースした。

 Sendmailは、Unixオペレーティングシステムで利用可能な人気のあるオープンソース電子メールクライアントである。smrshパッケージにより、Sendmailは制限付きでバイナリを実行できる。しかし、Sendmailには攻撃者がsmrshによる制限を回避できる欠陥が存在する(ID# 111936, Sept. 25, 2002)。


◆情報ソース:
・NetBSD Project (NetBSD-SA2002-023), Oct. 08, 2002
・OpenBSD Project (OpenBSD Errata), Nov. 06, 2002
・FreeBSD Project (FreeBSD-SA-02:41), Nov. 12, 2002
・SCO Group (CSSA-2002-052.0), Nov. 21, 2002
・MandrakeSoft Inc. (MDKSA-2002:083), Nov. 28, 2002
・Sendmail Consortium ( http://www.sendmail.org/smrsh.adv.txt ), Oct. 01, 2002
・The SCO Group (CSSA-2002-052.1), Dec. 18, 2002

◆キーワード:
 Caldera: OpenLinux Server Caldera: OpenLinux Workstation

◆分析:
 (iDEFENSE米国)これは、Sendmailを搭載しているほぼ全てのシステムに影響を及ぼす深刻な欠陥である。すぐに当該欠陥に対処する必要がある。

◆検知方法:
 Sendmail 8.12.6、Sendmail 8.11.6-15は、脆弱なバージョンのsmrshと一緒に出荷されている。声明を発表しているベンダーは以下の通り。

・Caldera OpenLinux 3.1、3.1.1のサーバー、ワークステーションで脆弱性が確認されている。
・FreeBSD 4.3から4.7、-CURRENTで脆弱性が確認されている。
・OpenBSD 3.0、3.1、3.2で脆弱性が確認されている。
・NetBSD 1.5、1.5.1、1.5.2、1.5.3、1.6で脆弱性が確認されている。2002年10月3日以前のNetBSD-currentで脆弱性が確認されている。
・MandrakeSoft社は、Mandrake Linux 7.2、8.0、8.0/PPC、8.1、8.1/IA64、8.2、8.2/PPC、9.0で脆弱性を確認している。
・Red Hat 6.0、7.0、7.1、7.2、7.3、8.0が脆弱である。

◆ベンダー情報:
 ベンダーがリリースしているパッチ、ソースコードのアップデート、バイナリパッケージは、以下のロケーションで入手可能。

・The Sendmail Consortiumが発表したパッチは、 http://www.sendmail.org/patches/smrsh-20020924.patch で入手可能。
・The SCO Group社が再リリースしたCaldera OpenLinuxのアップデートは、 ftp://ftp.sco.com/pub/security/OpenLinux/CSSA-2002-052.1.txt で入手可能。
・MandrakeSoft社がリリースしたアップデートは、 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2002:083 で入手可能。
・The FreeBSD Projectが発表したアップグレード手順、パッチの詳細は、 ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02.41.smrsh.asc で入手可能。
・The OpenBSD Projectがリリースしたパッチは以下の通り。
・OpenBSD 3.0のパッチは、 ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.0/common/034_smrsh.patch で入手可能。
・OpenBSD 3.1のパッチは、 ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.1/common/017_smrsh.patch で入手可能。
・OpenBSD 3.2のパッチは、 ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.2/common/003_smrsh.patch で入手可能。
・NetBSDが発表したソースコードのアップデートは、以下のコマンドを用いてCVSから入手可能。コマンドの実行後、再コンパイルして、smrshソフトウェアをインストールする必要がある。
 cvs update -d -P gnu/dist/sendmail/smrsh
 尚、この件に関する詳細は、 ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-023.txt.asc で入手可能。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【05:33 GMT、12、20、2002】

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ITコンサル企業、特別損失 73,000,000 円計上 ~ 連結子会社への不正アクセス受け

    ITコンサル企業、特別損失 73,000,000 円計上 ~ 連結子会社への不正アクセス受け

  2. セキュリティイベントのヘルパーリスト、女性不在で炎上

    セキュリティイベントのヘルパーリスト、女性不在で炎上

  3. 伊予銀行の再委託先で使用していたローレルバンクマシン提供のクラウドサービスに身代金要求を伴う不正アクセス

    伊予銀行の再委託先で使用していたローレルバンクマシン提供のクラウドサービスに身代金要求を伴う不正アクセス

  4. 脅迫文がサーバに保存 ~ 東海大学委託先 東海ソフト開発にランサムウェア攻撃

    脅迫文がサーバに保存 ~ 東海大学委託先 東海ソフト開発にランサムウェア攻撃

  5. 東海ソフト開発へのランサムウェア攻撃、委託元の東海教育産業と一部の顧客情報を共有

    東海ソフト開発へのランサムウェア攻撃、委託元の東海教育産業と一部の顧客情報を共有

ランキングをもっと見る
PageTop
ホーム 国際 海外情報 記事
TOP