最新ニュース

日本の「リネージュ」ユーザーは集団活動が好き〜東大池田教授が実態分析

ゴメス、2003年夏期の国内・海外旅行サイトのランキングを発表

UIS、永井豪などが登場する「コミックス・アニメ祭」を開始

インターネット接続利用者数、ブロードバンド加入者が1,100万人に近づく

1週間メールのない生活は「離婚よりストレス」〜Veritas調査

OCN、Web上でホームページを作れる「ホームページ簡単キット」

NTT西日本、ブロードバンド回線を活用したVPNサービス提供開始

テックジャム、9,500円の検索キーワード解析ツール

オンライン音楽市場はまだ成長の余地あり〜米Jupiter調査

BIGLOBE、直販サイトを集約した「BIGLOBE STORE」を開設

テレマン、31の離島で衛星ネットを活用した常時接続環境の整備構想

感染するとIEのパフォーマンスが低下するウイルス「Bingd」

CRLの研究施設公開イベントで、今年も“無線LANラジコン”が登場

米ISS、WindowsのRPCに関する脆弱性の有無をチェックできるツール

InfoSphereに@FreeD対応の固定IP付与サービス

総務省、電波再配分の給付金算定に関する報告書を公開

情報通信審議会、携帯技術やアニメ・ゲームを活かす「日本型新IT社会」提言

ITXと有線ブロード、企業向け光ブロードバンド事業で合弁会社設

NRIら、実証実験に基づいた無線LANの設計・運用サービス

IE用の国際化ドメイン名プラグイン「i-Nav」がRFCに準拠

OCNでアクセス集中によるDNS障害が発生。現在は復旧

ソフトバンクBB、必要な機能だけを追加利用できるセキュリティサービス

日本気象協会、患者が急増している熱中症の予防情報サイトを開設

日本語ドメイン名の普及に、残る課題はアプリケーションの対応〜JPRS取締役

損保ジャパン、ネット上でリアルタイムに事故対応状況を照会できるサービス

シマンテック、感染するとうるさいウイルス「Lorsis」を警告

Web上のグラフィック技術「X3D」が国際規格へと一歩前進

著名なダウンロードサイト「Download.com」が殿堂入りソフトを4本発表

ノルウェーTelenor、航空機向けに衛星経由のパケットデータサービス

【連載】検索エンジンの裏側 第10回 Yahoo!のOverture買収で浮上した3つの疑問

【セキュリティ】

〜ヘッダ情報の処理の際に発生するため、全てのsendmailが影響を受ける

sendmail、第三者にroot権限を奪われる深刻な脆弱性

■URL
http://www.isskk.co.jp/support/techinfo/general/SendmailHeader_xforce.html
http://www.ipa.go.jp/security/ciadr/20030303sendmail.html
http://www.sendmail.org/8.12.8.html
http://www.sendmail.com/security/index.shtml

最新版「8.12.8」を提供しているサイト

 セキュリティベンダーのInternet Security Systems(ISS)は3日、メールサーバーとして多大なシェアを持つ「sendmail」に深刻な脆弱性を発見したと発表した。オープンソース版、商用版共に影響を受ける。

 この脆弱性は、sendmailのMail Transport Agent(MTA)にバッファオーバーフローの脆弱性があるというもの。この脆弱性を利用した場合、攻撃者がroot権限を取得する可能性もある。

 また、この脆弱性はsendmailがメールに含まれるヘッダ情報を処理する際に発生するため、内部ネットワークに設置されているsendmailであっても、外部から中継された細工を施されたメールを受け取ることによって、この問題が発生する可能性がある。さらに、このようなヘッダーを細工した攻撃メールが届いても、ファイアウォールやIDS、ウイルス対策ソフトでは検知することが難しいため、sendmail側で対応しないと危険性が高まる。

 対象となるバージョンは、以下の通り。

○オープンソース版

  • sendmail 8.12.8より以前のバージョン

○商用版

  • Sendmail Pro(全てのバージョン)
  • Sendmail Switch 2.1(2.1.5より以前のバージョン)
  • Sendmail Switch 2.2(2.2.5より以前のバージョン)
  • Sendmail Switch 3.0(3.0.3より以前のバージョン)
  • Sendmail for NT 2.X(2.6.2より以前のバージョン)
  • Sendmail for NT 3.0(3.0.3より以前のバージョン)

 また、UNIX系OSでは、オープンソース版sendmailやこれらをカスタマイズしたものが含まれているものが多いので、注意が必要だ。

 対策方法は、オープンソース版の場合、最新バージョンであるバージョン「8.12.8」にアップグレードすることが推奨されている。商用版の場合は、SendmailのWebサイト上で対応パッチが提供されているため、それを適用すればよい。

 センドメール社長の小島國照氏によると、「オープンソース版は、最新バージョンに更新することを推奨する。製品版では、本日より各製品に対応したセキュリティパッチの提供を開始したので、早急に導入して欲しい。Slammerウイルスは既知のセキュリティパッチをあてていなかったために被害が拡大した。同じような過ちを繰り返さないためにも、当社では早急なセキュリティパッチの導入を積極的に促していく」とのこと。

◎関連記事
「WebではSSLを使うのに、なぜメールは素で流すのか?」〜センドメール社長
Sendmail、セキュリティー機能を強化した「Sendmail」の新製品を発売
Sendmail社CEO、mailの未来を語る

(2003/3/4)

[Reported by otsu-j@impress.co.jp]

INTERNET Watchホームページ

INTERNET Watch編集部internet-watch-info@impress.co.jp
Copyright (c) 2003 Impress Corporation All rights reserved.