CERT? Advisory CA-2003-25 Buffer Overflow in Sendmail

CERT? Advisory CA-2003-25 Buffer Overflow in Sendmail

更新时间: September 29, 2003

资料来源: CERT/CC影响系统:
只要sendmail版本在 8.12.10 之前的所有系统,包含 UNIX 及 Linux 系统都会受到影响. 

依据所运作的系统及平台架构,可以透过执行某些程式码取得权限.
除非 RunAsUser 这个选项被打开,不然Sendmail通常采用root权限执行.

解决方式:
升级或修补 sendmail版本,Sendmail组织 已经对 8.9.x 到 8.12.9 间的版本 提供修补程式
http://www.sendmail.org/patches/parse8.359.2.8

启动 RunAsUser 参数
设定 RunAsUser 参数可以降低这个漏洞的冲击.

FreeBSD
FreeBSD也受到影响,详细细节 ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:13.sendmail.asc

Red Hat
透过 up2date这个工具,升级Sendmail到安全的版本.
http://rhn.redhat.com/errata/RHSA-2003-283.html

The Sendmail Consortium
Sendmail 组织 建议尽可能将版本升级到 8.12.10 .或者是,透过对8.9 8.10 8.11 及8.12 的修补程式修补漏洞.