gauge
区分
JVN番号
タイトル
JVN
深刻度
最終更新日
CVE番号
New
JVNDB-2005-000313

qmail の command.c におけるサービス運用妨害 (DoS) の脆弱性

5.0
2007/04/01 00:00
CVE-2005-1514

JVNDB-2005-000313

qmail の command.c におけるサービス運用妨害 (DoS) の脆弱性
概要
------------ 本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。 ------------ qmail は、簡単な設定で利用可能なメール転送エージェント (MTA) で、SMTP を使用して他のシステム上の MTA とのメッセージ交換を行ないます 。 Qmail 1.03 以前には、以下複数のセキュリティ問題により、qmail-smtpd がクラッシュする問題が存在します。 ・他の SMTP サービスから過度に大きなデータを受信した場合に、stralloc_readyplus() 関数において、整数オーバーフローが発生する問題 (BID 13528) ・過度に大きなデータをパラメータとして HELO コマンドに渡した場合に、commands() 関数において、符号付き整数エラーが発生する問題 (BID 13535) ・過度に大きなデータをパラメータとして RCPT TO コマンドに渡した場合に、substdio_put() 関数において、符号付き整数エラーが発生する問題 (BID 13536) これらの問題を利用するリモートの攻撃者は、SMTP サービスに接続して意図的なデータを送りつけることにより、qmail-smtpd のクラッシュを引き起こし、結果として SMTP サービスをサービス不能状態に陥らせる可能性があります。また、これらの問題を利用して任意のコードを実行する可能性もありますが、現時点では詳細は不明です。 尚、これらの問題は仮想メモリが 8 GB を超える 64 ビットアーキテクチャのシステム上で、4 GB 以上の仮想メモリを使用可能である場合に限り、再現することが発見者より報告されています。
想定される影響と対策
本脆弱性に伴う影響については、「概要」をご参照ください。
JVNDB-2005-000313は、ベンダ情報及び参考情報を参照して適切な対策を実施してください。
JVN情報 ※( )内はCVSS v3の値
深刻度5.0N/A
CVECVE-2005-1514
公表日2005/05/06 00:00
登録日2007/04/01 00:00
更新日2007/04/01 00:00
CVSS v2情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。