CERT^® Advisory CA-2003-25 Buffer Overflow in Sendmail

更新時間: September 29, 2003
資料來源: CERT/CC影響系統:
只要sendmail版本在 8.12.10 之前的所有系統,包含 UNIX 及 Linux 系統都會受到影響. 

依據所運作的系統及平台架構,可以透過執行某些程式碼取得權限.
除非 RunAsUser 這個選項被打開,不然Sendmail通常採用root權限執行.

解決方式:
升級或修補 sendmail版本,Sendmail組織 已經對 8.9.x 到 8.12.9 間的版本 提供修補程式
http://www.sendmail.org/patches/parse8.359.2.8

啟動 RunAsUser 參數
設定 RunAsUser 參數可以降低這個漏洞的衝擊.

FreeBSD
FreeBSD也受到影響,詳細細節 ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:13.sendmail.asc

Red Hat
透過 up2date這個工具,升級Sendmail到安全的版本.
http://rhn.redhat.com/errata/RHSA-2003-283.html

The Sendmail Consortium
Sendmail 組織 建議儘可能將版本升級到 8.12.10 .或者是,透過對8.9 8.10 8.11 及8.12 的修補程式修補漏洞.