[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[SNS Advisory No.69] Eudora "Reply-To-All" Buffer Overflow Vulnerability
- To: bugtraq-jp@xxxxxxxxxxxxxxxxx
- Subject: [SNS Advisory No.69] Eudora "Reply-To-All" Buffer Overflow Vulnerability
- From: "Secure Net Service(SNS) Security Advisory" <snsadv@xxxxxxxxx>
- Date: Mon, 10 Nov 2003 19:12:18 +0900
----------------------------------------------------------------------
SNS Advisory No.69
Eudora "Reply-To-All" Buffer Overflow Vulnerability
Problem first discovered on: Thu, 09 Jan 2003
Published on: Mon, 10 Nov 2003
----------------------------------------------------------------------
概要:
-----
特定のバージョンの Eudora for Windows には、 Buffer Overflow を生じ
させてしまう問題が存在します。悪意ある攻撃者はこの問題を利用すること
で、標的ユーザの権限で任意のコードを実行できる可能性があります。
問題:
-----
Eudora を利用し、ヘッダの From: フィールドに長大な文字列を含むメール
を受けとった場合、このメールに対して『全員に返信』を選択した場合に
Buffer Overflow が発生します。この現象は Reply-To: フィールドに長大な
文字列を含むメールに対して『全員に返信』を選択した場合にも発生します。
この問題を利用することで、悪意ある攻撃者は Eudora を実行するユーザ
の権限で任意のコードを実行できる可能性があります。
問題を確認したバージョン:
-------------------------
Eudora 5.1-J for Windows 日本語版
Eudora Version 5.2.0.9 for Windows 英語版
対策:
-----
下記のバージョンへアップグレードを行うことでこの問題を解消することが
できます。
Eudora 5.1-Jr3 for Windows 日本語版 以降
Eudora Version 6.0 for Windows 英語版 以降
発見者:
-------
新町 久幸
発見と報告の経緯:
-----------------
2003年 1月 9日 : 脆弱性の発見
2003年 1月21日 : 株式会社オン・ザ・エッヂおよび米 QUALCOMM 社に報告
2003年 3月下旬 : 本脆弱性を修正した Eudora 5.1-Jr3 がリリースされる
2003年 6月25日 : 米 QUALCOMM 社より連絡を得られないため米 CERT/CC に報告
2003年10月 4日 : Eudora Version 6.0 for Windows 英語版で本脆弱性が
修正されていることを確認
2003年11月10日 : 本脆弱性の公開
免責:
-----
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あ
るがままの形で提供されます。この情報を適用し生起される結果のリスクは利用
者が負うものとし、株式会社ラックは一切の責任を負わないものとします。
再配布について:
---------------
このアドバイザリの再配布は、下記条件を満たす限り自由です。
発行元 URL として、以下の URL を明記する。
http://www.lac.co.jp/security/intelligence/SNSAdvisory/69.html
------------------------------------------------------------------
Secure Net Service(SNS) Security Advisory <snsadv@xxxxxxxxx>
Computer Security Laboratory, LAC http://www.lac.co.jp/security/