[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[harden-mac:0337] APPLE-SA-2003-03-03 sendmail
- To: Harden-Mac <harden-mac@xxxxxxxxxx>
- Subject: [harden-mac:0337] APPLE-SA-2003-03-03 sendmail
- From: ISHIKAWA Yasuhisa <vm@xxxxxxxxxxxxxxxxxx>
- Date: Tue, 04 Mar 2003 08:18:33 +0900
石川です。
既にソフトウェアアップデートをしてご存知の方もいらっしゃるかと
思いますが、表題の通り、SAが出ています。
○APPLE-SA-2003-03-03 sendmail
http://lists.apple.com/mhonarc/security-announce/msg00024.html
対象はsendmailとopensslの様で。
■sendmail
sendmailは、先日の10.2.4アップデートで、8.12.6にsmrshの脆弱性を
fixしたものになりましたが、sendmail 8.12.8になるようですね。
対象となる脆弱性その他に関しての情報は以下。
○sendmail 8.12.8
http://www.sendmail.org/8.12.8.html
○Remote Sendmail Header Processing Vulnerability
(ISS X-Forceによる勧告)
https://gtoc.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21950
# 8.12.8になるかどうか、実はちゃんと調べてません。
# 対象となる脆弱性へのfixを考えると8.12.8になるんだろうって事で。
■openssl
アップデート前のopensslのバージョンは
% openssl version
OpenSSL 0.9.6e 30 Jul 2002
アップデート後は
% openssl version
OpenSSL 0.9.6i Feb 19 2003
対象となる脆弱性については以下。
○OpenSSL Security Advisory [19 February 2003]
Timing-based attacks on SSL/TLS with CBC encryption
http://www.openssl.org/news/secadv_20030219.txt
↑内のReferenceに載っている文献で、この脆弱性について
詳しく解説されているようです。
○LASEC: Memo: Password Interception in a SSL/TLS Channel
http://lasecwww.epfl.ch/memo_ssl.shtml
さて、このSAで一つ注目すべき点が。
「Security Update 2003-03-03 for Mac OS X 10.1.5 is planned to be
available on March 4.」
って書かれてるんですが、10.1.5へのサポートもするんですね。
じゃぁ他の脆弱性へのfixはしないのか?って気もしなくはないんですが、
一応、10.1.5を完全には見捨ててないんだなぁと。
以下、余談。
「User-Agent: Microsoft-Outlook-Express-Macintosh-Edition/5.0.6」
って「投稿者はMac OSなんだぁ」とか...。
--
石川 泰久/vm_converter
vm@xxxxxxxxxxxxxxxxxx
--[PR]------------------------------------------------------------------
◆◇◆◇◆ マンション探しで困っている人に朗報! ◆◇◆◇◆
人気のデザイナーズからお得なお値打ちマンションまで、バラエティあふれる
新築物件情報いっぱいの無料メルマガがe-sumaiから待望のスタート。
▼無料購読は=> http://ad.freeml.com/cgi-bin/ad.cgi?id=bECeg
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp