最新ニュース

日本の「リネージュ」ユーザーは集団活動が好き〜東大池田教授が実態分析

ゴメス、2003年夏期の国内・海外旅行サイトのランキングを発表

UIS、永井豪などが登場する「コミックス・アニメ祭」を開始

インターネット接続利用者数、ブロードバンド加入者が1,100万人に近づく

1週間メールのない生活は「離婚よりストレス」〜Veritas調査

OCN、Web上でホームページを作れる「ホームページ簡単キット」

NTT西日本、ブロードバンド回線を活用したVPNサービス提供開始

テックジャム、9,500円の検索キーワード解析ツール

オンライン音楽市場はまだ成長の余地あり〜米Jupiter調査

BIGLOBE、直販サイトを集約した「BIGLOBE STORE」を開設

テレマン、31の離島で衛星ネットを活用した常時接続環境の整備構想

感染するとIEのパフォーマンスが低下するウイルス「Bingd」

CRLの研究施設公開イベントで、今年も“無線LANラジコン”が登場

米ISS、WindowsのRPCに関する脆弱性の有無をチェックできるツール

InfoSphereに@FreeD対応の固定IP付与サービス

総務省、電波再配分の給付金算定に関する報告書を公開

情報通信審議会、携帯技術やアニメ・ゲームを活かす「日本型新IT社会」提言

ITXと有線ブロード、企業向け光ブロードバンド事業で合弁会社設

NRIら、実証実験に基づいた無線LANの設計・運用サービス

IE用の国際化ドメイン名プラグイン「i-Nav」がRFCに準拠

OCNでアクセス集中によるDNS障害が発生。現在は復旧

ソフトバンクBB、必要な機能だけを追加利用できるセキュリティサービス

日本気象協会、患者が急増している熱中症の予防情報サイトを開設

日本語ドメイン名の普及に、残る課題はアプリケーションの対応〜JPRS取締役

損保ジャパン、ネット上でリアルタイムに事故対応状況を照会できるサービス

シマンテック、感染するとうるさいウイルス「Lorsis」を警告

Web上のグラフィック技術「X3D」が国際規格へと一歩前進

著名なダウンロードサイト「Download.com」が殿堂入りソフトを4本発表

ノルウェーTelenor、航空機向けに衛星経由のパケットデータサービス

【連載】検索エンジンの裏側 第10回 Yahoo!のOverture買収で浮上した3つの疑問

【セキュリティ】

sendmailにまたもや深刻なバッファオーバーフロー脆弱性

■URL
http://www.cert.org/advisories/CA-2003-12.html
http://www.sendmail.org/8.12.9.html(8.12.9のダウンロードサイト)

 米CERT/CCなどは29日、メールサーバーとして多大なシェアを持つ「sendmail」に深刻なバッファオーバーフロー脆弱性を発見したと発表した。オープンソース版、商用版共に影響を受ける。なお、3月3日に発見された脆弱性とは異なるので、注意が必要だ。

 今回の脆弱性は、悪意のあるプログラムを含んだメールをsendmailが受信するとバッファオーバーフローを引き起こし、sendmailの実行権限と同等の権限を奪われる可能性があるというもの。

 この脆弱性はsendmailがメールに含まれるヘッダ情報を処理する際に発生するため、内部ネットワークに設置されているsendmailであっても、外部から中継されたメールを受け取ることによって、この問題が発生する可能性がある。また悪意あるプログラムを含んだメールは、通常のメールと判別することが難しいため、ファイアウォールやIDSで防ぐことは難しく、sendmail自体に対策を行なわなければならない。

 対象となるバージョンは、以下の通り。

○オープンソース版

  • sendmail 8.12.9より以前のバージョン

○商用版

  • Sendmail Pro(全てのバージョン)
  • Sendmail Switch 2.1(2.1.6より以前のバージョン)
  • Sendmail Switch 2.2(2.2.6より以前のバージョン)
  • Sendmail Switch 3.0(3.0.4より以前のバージョン)
  • Sendmail for NT 2.X(2.6.3より以前のバージョン)
  • Sendmail for NT 3.0(3.0.4より以前のバージョン)
  • sendmail 8.12.8より以前のバージョンを含んでいるUNIX/Linux OS

 対策方法は、オープンソース版の場合、最新バージョンであるバージョン「8.12.9」にアップグレードすることが推奨されている。商用版の場合は、SendmailのWebサイト上で対応パッチが提供されているため、それを適用すればよい。

◎関連記事
sendmail、第三者にroot権限を奪われる深刻な脆弱性

(2003/3/31)

[Reported by otsu-j@impress.co.jp]

INTERNET Watchホームページ

INTERNET Watch編集部internet-watch-info@impress.co.jp
Copyright (c) 2003 Impress Corporation All rights reserved.