【詳細情報】SCO Group社がSendmailのセキュリティアップデートをリリース | ScanNetSecurity
2024.05.03(金)

【詳細情報】SCO Group社がSendmailのセキュリティアップデートをリリース

◆概要:
 SCO Group社は、iDEFENSE LabsがThe Sendmail Consortiumの電子メールクライアント、Sendmailのsmrshパッケージで発見した欠陥に対処したセキュリティアップデートを再リリースした。

国際 海外情報
facebookLINE
◆概要:
 SCO Group社は、iDEFENSE LabsがThe Sendmail Consortiumの電子メールクライアント、Sendmailのsmrshパッケージで発見した欠陥に対処したセキュリティアップデートを再リリースした。

 Sendmailは、Unixオペレーティングシステムで利用可能な人気のあるオープンソース電子メールクライアントである。smrshパッケージにより、Sendmailは制限付きでバイナリを実行できる。しかし、Sendmailには攻撃者がsmrshによる制限を回避できる欠陥が存在する(ID# 111936, Sept. 25, 2002)。


◆情報ソース:
・NetBSD Project (NetBSD-SA2002-023), Oct. 08, 2002
・OpenBSD Project (OpenBSD Errata), Nov. 06, 2002
・FreeBSD Project (FreeBSD-SA-02:41), Nov. 12, 2002
・SCO Group (CSSA-2002-052.0), Nov. 21, 2002
・MandrakeSoft Inc. (MDKSA-2002:083), Nov. 28, 2002
・Sendmail Consortium ( http://www.sendmail.org/smrsh.adv.txt ), Oct. 01, 2002
・The SCO Group (CSSA-2002-052.1), Dec. 18, 2002

◆キーワード:
 Caldera: OpenLinux Server Caldera: OpenLinux Workstation

◆分析:
 (iDEFENSE米国)これは、Sendmailを搭載しているほぼ全てのシステムに影響を及ぼす深刻な欠陥である。すぐに当該欠陥に対処する必要がある。

◆検知方法:
 Sendmail 8.12.6、Sendmail 8.11.6-15は、脆弱なバージョンのsmrshと一緒に出荷されている。声明を発表しているベンダーは以下の通り。

・Caldera OpenLinux 3.1、3.1.1のサーバー、ワークステーションで脆弱性が確認されている。
・FreeBSD 4.3から4.7、-CURRENTで脆弱性が確認されている。
・OpenBSD 3.0、3.1、3.2で脆弱性が確認されている。
・NetBSD 1.5、1.5.1、1.5.2、1.5.3、1.6で脆弱性が確認されている。2002年10月3日以前のNetBSD-currentで脆弱性が確認されている。
・MandrakeSoft社は、Mandrake Linux 7.2、8.0、8.0/PPC、8.1、8.1/IA64、8.2、8.2/PPC、9.0で脆弱性を確認している。
・Red Hat 6.0、7.0、7.1、7.2、7.3、8.0が脆弱である。

◆ベンダー情報:
 ベンダーがリリースしているパッチ、ソースコードのアップデート、バイナリパッケージは、以下のロケーションで入手可能。

・The Sendmail Consortiumが発表したパッチは、 http://www.sendmail.org/patches/smrsh-20020924.patch で入手可能。
・The SCO Group社が再リリースしたCaldera OpenLinuxのアップデートは、 ftp://ftp.sco.com/pub/security/OpenLinux/CSSA-2002-052.1.txt で入手可能。
・MandrakeSoft社がリリースしたアップデートは、 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2002:083 で入手可能。
・The FreeBSD Projectが発表したアップグレード手順、パッチの詳細は、 ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02.41.smrsh.asc で入手可能。
・The OpenBSD Projectがリリースしたパッチは以下の通り。
・OpenBSD 3.0のパッチは、 ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.0/common/034_smrsh.patch で入手可能。
・OpenBSD 3.1のパッチは、 ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.1/common/017_smrsh.patch で入手可能。
・OpenBSD 3.2のパッチは、 ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.2/common/003_smrsh.patch で入手可能。
・NetBSDが発表したソースコードのアップデートは、以下のコマンドを用いてCVSから入手可能。コマンドの実行後、再コンパイルして、smrshソフトウェアをインストールする必要がある。
 cvs update -d -P gnu/dist/sendmail/smrsh
 尚、この件に関する詳細は、 ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-023.txt.asc で入手可能。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【05:33 GMT、12、20、2002】

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  4. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  5. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  6. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  7. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

  8. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  9. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  10. トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

    トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP