せっかくアップデート(make)が完了したと思って sendmail のバージョンを確認すると 8.13.6。アップデートの前は 8.13.4。完了か?と思いきや正しくは 8.13.7 でないと駄目らしい。
今のファイルのバージョン
% grep -E "deliver.c|mime.c|sendmail.h" CVS/Entries
/deliver.c/1.1.1.3.2.22/Thu Jun 15 08:14:40 2006//TRELENG_4
/mime.c/1.1.1.3.2.12/Thu Jun 15 08:14:40 2006//TRELENG_4
/sendmail.h/1.1.1.4.2.24/Thu Jun 15 08:14:41 2006//TRELENG_4
SA によると正しくは
/deliver.c/1.1.1.3.2.24
/mime.c/1.1.1.3.2.14
/sendmail.h/1.1.1.4.2.31
ちょっとだけバージョンが古い...
日付をみると、SA の直前に一度触っているらしい。直したつもりで直っていなかったのか?
再度、update して make しなおさないと...P133 なマシンには辛い... CTM は、やっぱり 1日ぐらい遅れると思ったほうがいいのだろうか。今取り込んで見ましたが、まだ来てないよ(;_;)
今のファイルのバージョン
% grep -E "deliver.c|mime.c|sendmail.h" CVS/Entries
/deliver.c/1.1.1.3.2.22/Thu Jun 15 08:14:40 2006//TRELENG_4
/mime.c/1.1.1.3.2.12/Thu Jun 15 08:14:40 2006//TRELENG_4
/sendmail.h/1.1.1.4.2.24/Thu Jun 15 08:14:41 2006//TRELENG_4
SA によると正しくは
/deliver.c/1.1.1.3.2.24
/mime.c/1.1.1.3.2.14
/sendmail.h/1.1.1.4.2.31
ちょっとだけバージョンが古い...
日付をみると、SA の直前に一度触っているらしい。直したつもりで直っていなかったのか?
再度、update して make しなおさないと...P133 なマシンには辛い... CTM は、やっぱり 1日ぐらい遅れると思ったほうがいいのだろうか。今取り込んで見ましたが、まだ来てないよ(;_;)
なんか、HP(※1) とか Linux(※2) で sendmail な SA が流れてるけど FreeBSD はどうなんだ?とか思ってたら NetBSD(※3) でも来ました。
Secunia: SA20473
6/15 12:01 JST 現在 HP Tru64 UNIX しか載ってないし。
sendmail.com: Sendmail-SA-200605-01 深いネスト構造を持つ不正なMIMEメッセージによるサービス妨害攻撃
※1. HP: HPSBTU02116 SSRT061135
※2. SuSE: SUSE-SA:2006:032
※2. Mandriva: MDKSA-2006:104
※3. NetBSD: Security Advisory 2006-017
メールはまだだけど、Web で見つけました。
FreeBSD: FreeBSD-SA-06:17.sendmail (CVE-2006-1173)
って思ったら、 07:06 にはメールサーバーについてました。取り込んだのは 11:43 ですが(;_;)
まだ US-CERT の RSSに載ってないのは何故?
US-CERT Vulnerability Note VU#146718
Vulnerable になっている所は FreeBSD, IBM, NEC, Red Hat, Sendmail, Sun Microsystems. この辺は対応が早いところと考えて良いんでしょう。
JPCERT/CC: JPCERT/CC Alert 2006-06-15
JP Vendor Status Notes: JVNVU#146718
FreeBSD の SA より
現象:
特殊な壊れた MIME パートを持つ mail を送ると、中継装置である sendmail がこけてしまい、一度こけるとそのまま配送を停止してしまうらしいです。(= そのメールサーバーは機能しなくなる)
(queue を読む時にこけるらしいので、メールを受信できるが、他のサイトには送れなくなるのか?なんちゅう奴だ。)
Workaround(一時的な回避策) は無いらしいので利用されている方は諦めてアップデートしましょう。
メール・サーバー「sendmail」にセキュリティ・ホール,DoS攻撃を受ける恐れ (ITpro)
Secunia: SA20473
6/15 12:01 JST 現在 HP Tru64 UNIX しか載ってないし。
sendmail.com: Sendmail-SA-200605-01 深いネスト構造を持つ不正なMIMEメッセージによるサービス妨害攻撃
※1. HP: HPSBTU02116 SSRT061135
※2. SuSE: SUSE-SA:2006:032
※2. Mandriva: MDKSA-2006:104
※3. NetBSD: Security Advisory 2006-017
メールはまだだけど、Web で見つけました。
FreeBSD: FreeBSD-SA-06:17.sendmail (CVE-2006-1173)
って思ったら、 07:06 にはメールサーバーについてました。取り込んだのは 11:43 ですが(;_;)
まだ US-CERT の RSSに載ってないのは何故?
US-CERT Vulnerability Note VU#146718
Vulnerable になっている所は FreeBSD, IBM, NEC, Red Hat, Sendmail, Sun Microsystems. この辺は対応が早いところと考えて良いんでしょう。
JPCERT/CC: JPCERT/CC Alert 2006-06-15
JP Vendor Status Notes: JVNVU#146718
FreeBSD の SA より
現象:
特殊な壊れた MIME パートを持つ mail を送ると、中継装置である sendmail がこけてしまい、一度こけるとそのまま配送を停止してしまうらしいです。(= そのメールサーバーは機能しなくなる)
(queue を読む時にこけるらしいので、メールを受信できるが、他のサイトには送れなくなるのか?なんちゅう奴だ。)
Workaround(一時的な回避策) は無いらしいので利用されている方は諦めてアップデートしましょう。
メール・サーバー「sendmail」にセキュリティ・ホール,DoS攻撃を受ける恐れ (ITpro)
は、昨日でした(^^:
で、IE から Windows Update してみると
> 次の更新はインストールされませんでした。
> Windows Genuine Advantage 確認ツール (KB892130)
となって、全然進めず。仕方ないのでほっといたら今朝、自動更新で Update されてました。
う~ん、やっぱ IE は駄目?
で、IE から Windows Update してみると
> 次の更新はインストールされませんでした。
> Windows Genuine Advantage 確認ツール (KB892130)
となって、全然進めず。仕方ないのでほっといたら今朝、自動更新で Update されてました。
う~ん、やっぱ IE は駄目?