| Sendmail-SA-200607-03 | Security Advisory
Sendmail, Inc. |
|---|
| トピック: | Flow Controlフィルタ アドレスサニタイズ処理の不具合 |
|---|---|
| クラス: | サービス妨害、コード実行 |
| 深刻度: | 最重要 |
| 公開日: | 2006-08-02 09:00 PDT |
| 影響のあるソフトウェア: |
|
対策済みソフトウェア: |
|
上記のソフトウェアについての説明や他のセキュリティアドバイザリなど、Sendmail,Inc のセキュリティアドバイザリ全般についてお知りになりたい方は こちらをご覧ください。
単体の製品として、またSentrionアプライアンスとして提供される、Sendmail Flow Control フィルタにより、特定のサイトからの悪意のある攻撃や予期しないメールトラフィックからネットーワークやシステムのリソースを保護する目的で、SMTPのトラフィックを制御できます。
Flow Controlフィルタに送られた送信者や受信者のメールアドレスが、SendersおよびRecipients Classパラメータを利用するポリシーに渡される以前のサニタイズ(清書化)処理において正しく処理されません。
正しく処理できないメールアドレスを使って、攻撃者がサービス不能攻撃を行ったり、Flow Controlフィルタに実行コードを送り込み実行させることが可能です。
パッチをすぐにインストールできない場合は、Flow ControlフィルタのClass設定においてSendersおよびRecipientsの制限を利用しないことで、問題を回避できます。
Sendmail, Incはこの問題に対処したFlow Controlのパッチを提供しております。 パッチはサポート契約のあるお客様にはそれぞれダウンロードページよりご提供いたします。
https://www.sendmail.com/customerlogin/サポート契約をお持ちでない方は次のページよりダウンロードできます
ftp://ftp.sendmail.com/unsupported/smflow-patch-1.4.1-Linux.tar.gz
ftp://ftp.sendmail.com/unsupported/smflow-patch-1.4.1-Solaris8.tar.Z
ftp://ftp.sendmail.com/unsupported/smflow-patch-1.6.3-Linux.tar.gz
ftp://ftp.sendmail.com/unsupported/smflow-patch-1.6.3-Solaris8.tar.Z
ftp://ftp.sendmail.com/unsupported/SentriOS-1.5.4-905.tar
インストール方法については、それぞれのパッチに含まれるREADMEをご覧ください。それぞれのパッチのチェックサムを次に示します。
MD5 (smflow-patch-1.4.1-Linux.tar.gz) = badbb31d32231bafc6731849f3140425
MD5 (smflow-patch-1.4.1-Solaris8.tar.Z) = 70b6e381a8b26c5ad2afe3271745dd15
MD5 (smflow-patch-1.6.3-Linux.tar.gz) = 74c3917b170e6a78f5df50ae175fe70a
MD5 (smflow-patch-1.6.3-Solaris8.tar.Z) = 38601352ac04a077eeaf98768b0473e6
MD5 (SentriOS-1.5.4-905.tar) = 20f362750fd58218069984247e6cfac1