｜ トップページ Webビジネス Eコマース Webファイナンス Webマーケティング パブリック Webテクノロジー 携帯・ワイヤレス Linux Today Linux Tutorial J.I.C.ブログ 転職ならen 派遣ならen アルバイトならen ＩＴ求人情報 今日のヘッドライン 週間ヘッドライン ロレックス フォトコミュニティ ストックフォト クリップアート イラスト フェリカ Web2.0 イベントカレンダー 書評「IT の耳」 出張・接待検索 ニュースガジェット 新規登録 変更・解除 オプトインメールの登録・変更・解除 パートナーサイト 転職ならエン 就職ならen 求人ならen 履歴書ならen アルバイトならエン CRM/SFAならオラクル グループ会社 株式会社アエリア (株)サンゼロミニッツ 株式会社エアネット お問い合わせ 広告掲載について リンクについて 著作権について その他お問い合わせ 利用規約 個人情報保護方針 会社概要（地図） Webテクノロジー 2003年9月19日 00:00 Webテクノロジー・バックナンバー 『Sendmail』に新たなバッファオーバフロー脆弱性 著者: Clint Boulton 　オリジナル版を読む プリンター用 記事を転送 ▼2003年9月19日 00:00 付の記事 ■海外internet.com発の記事 CERT/CC は18日、運用数の多い Eメール配送プログラム『Sendmail』に、新たなバッファオーバフローの脆弱性がみつかり、攻撃者に任意のプログラムコード実行を許すおそれがあるとのセキュリティ警告を出した。 CERT/CC の警告によると、同脆弱性はオープンソース版の Sendmail 8.12.10 より前の版 (UNIX および Linux 版を含む) と、『Sendmail Switch』『Sendmail Advanced Message Server (SAMS)』『Sendmail for NT』といった商用版の両方に存在するという。同脆弱性により、一般的に root 権限で運用する例が多い同プログラムが、悪意あるユーザーに利用されるおそれがある。 同脆弱性は、Sendmail のメールアドレス解析コードに存在する。具体的には「prescan」関数に問題があり、攻撃者にバッファ終端以降への書き込みを許し、メモリ構造の破壊が起きる。これがバッファオーバーフローという問題で、プラットフォームや OS のアーキテクチャによっては、意図的に細工した Eメールで任意のプログラムコードを実行できる可能性がある。 CERT は今回の脆弱性が、通信プロトコル上の問題ではなく、メッセージ解析の段階で顕在化することが大事な点としている。すなわち、同脆弱性を抱えていない Eメール配送プログラムは、問題のあるメッセージをそのまま次の Eメール配送プログラムに転送してしまうということで、ネットワーク的に外部との境界となる Eメール配送プログラムに、今回の脆弱性を含まないものものを使っていても、同脆弱性を持つ内部の Sendmail サーバーは保護できないということだ。 CERT は Sendmail ユーザーに対し、最新版の 8.12.10 にアップグレードするか、8.9.x から 8.12.9 に対応するパッチを適用するよう勧告している。また、完全な回避策ではないとしながらも、攻撃の被害を緩和するため、「RunAsUser」オプションを有効にして、Sendmail を root 以外のユーザー権限で実行することも勧めている。 Debian、F5 Networks、IBM、NetBSD、Red Hat、The Sendmail Consortium、Sun Microsystems、SuSE など、Sendmail を採用しているベンダーやグループも、パッチを出すなどして問題の解決にあたっている。 関連記事 『OpenSSH』に DoS 攻撃につながり得る脆弱性 最も攻撃を受けている OS は Linux Sendmail 初の日本製プラグインオプションは ANT のメール監査ツール Microsoft、NT 系 OS に最大深刻度の脆弱性 RIM、Enterprise Server の更新パッケージを公開中 users ★最新トップニュース 日本 HP、17インチワイド液晶搭載で8万円台など、法人向けノート PC 5機種を発表（Webテクノロジー 8月21日 18:10） 日本 HP は、2008年8月21日、法人向けノート PC のエントリーモデルとなる5機種を発表した。 3PAR、Oracle の Unbreakable Linux Program に参加（Webビジネス 8月21日 18:00） 3PAR と Oracle は Oracle Unbreakable Linux Program で提携し、共通の顧客に対して、ストレージインフラストラクチャからアプリケーション環境まで、管理業務の簡素化、サポートの統一化、コスト削減を図る。 鹿児島でのブロードバンド展開目指し支社設立、関西ブロードバンド（Webビジネス 8月21日 18:00） 関西ブロードバンドは2008年8月21日、鹿児島県内ブロードバンド環境未整備地域に対して ADSL や無線 LAN などによるブロードバンドインフラサービスの提供を開始すると発表した。 ワンセグ利用者、対応機種の普及で6割近くに――MMD 研究所調べ（Webマーケティング 8月21日 18:00） アップデイト内に設置されている MMD 研究所（モバイルマーケティングデータ研究所）は、「携帯コンテンツに関する利用動向調査」を実施、2008年8月21日、その調査結果レポートを発表した。 KCCS がリモートアクセスの認証・検疫「CREAN」発表（Webテクノロジー 8月21日 18:00） 京セラコミュニケーションシステム（KCCS）は2008年8月21日、企業イントラネットへのセキュアなリモートアクセスを実現するリモートアクセス端末認証・検疫サービス「CREAN」を9月1日から提供すると発表した。 オススメのＩＴ系求人情報【毎週月曜日更新】 デイリーリサーチ ／ DLサイト OnlineResearchPortal　(リサーチデータバンク) モバイルリサーチ with goo iPhone Youtube Google モバイルノート 半導体 ウィルコム テーマ一覧はこちら 第1回インターネットコムマーケティングセミナー「新規クライアントを効率的に獲得する Web マーケティング手法とは」(3月26日)多数のご参加ありがとうございました DevX CodeGuru developer.com ブログ一覧 【最新テクノロジーの意外な処方箋】 予測可能ソフトウェア開発（8月21日） 【データメーション】 中古家電買い取りサイトはどこがベストか？（8月21日） 【ベンチャー専門家の目利きブログ「なぜこの企業は伸びるのか?」】 「飲食サービス業でハッピーな世界を！！」／株式会社ケン・トゥエニ・ワン（8月20日） 【デスマーチからの脱却】 30min. iPhoneアプリリリース（8月18日） 【エンジニアの独り言】 技術進歩の落とし穴！？誰のためにシステムを作っていますか？（8月18日） 【Skypeブログ出張版】 パナソニックWiFiフォン購入でSkype1ヶ国プランプレゼント（8月13日） 週刊-サイト別アクセス状況データ ビデオリサーチインタラクティブ調査(月間インターネットオーディエンスデータ)（8月21日） 気になるオープンソースソフトウェア オープンソースのアプリケーションサーバー　Apache Geronimo　その3（8月21日） 「IT の耳」 【書評】『暗号解読』―ロゼッタストーンから量子暗号まで―（8月21日） 検索エンジンマーケティング EZweb ではキャリア非公式サイトがクリックされる3つの理由（8月21日） 百式のネットビジネス研究 あるテーマに沿ったリンクを集めて共有するのに便利そうな「Agglom」（8月21日） Eメールマーケティング事情 メルマガからメールマーケティングへ（8月20日） 日本と韓国のインターネットビジネス最新動向調査 日本と韓国のEコマースサイト比較3―EC サイト（8月20日） e-Japan 先端テクノロジー解説 在宅勤務のすすめ〜雇用型テレワークの現場から〜（8月20日） SNSをビジネスに活用しよう タグにまつわる「ゆらぎ」と「ムラ」の問題を考える（8月19日） DevX OpenOfficeでのXForms入門（8月19日） セキュリティチャネル テレコムチャネル サーチエンジンウォッチ 海外のインターネットコム　アメリカ｜韓国｜ドイツ｜トルコ 関連企業のサイト：ストックフォト イラスト ネットストリート ホテル予約サイト タウン情報 出張 事業継承 シミュレーション トランクルーム 優待映画チケット 田舎暮らしガイド オリジナルデザインTシャツ ニタコエ Copyright 2008 Jupitermedia Corporation All Rights Reserved.