製品・ソフトウェアに関する情報

JVN脆弱性詳細

sendmail における X.509 証明書の処理に関する任意の SSL-based SMTP サーバになりすまされる脆弱性

Title	sendmail における X.509 証明書の処理に関する任意の SSL-based SMTP サーバになりすまされる脆弱性
Summary	sendmail には、X.509 証明書内の Common Name (CN) フィールドにある '\0' 文字を適切に処理しないため、任意の SSL-based SMTP サーバになりすまされる、またはアクセス制限を回避される脆弱性が存在します。本脆弱性は CVE-2009-2408 と関連があります。
Possible impacts	巧妙に細工されたサーバ証明書により、中間者攻撃者に任意の SSL-based SMTP サーバになりすまされる、または、巧妙に細工されたクライアント証明書により、第三者に認証を回避される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Jan. 4, 2010, midnight
Registration Date	Feb. 2, 2010, 11:43 a.m.
Last Update	May 26, 2011, 9:52 a.m.

CVSS2.0 : 危険
Score	7.5
Vector	AV:N/AC:L/Au:N/C:P/I:P/A:P

Affected System

サン・マイクロシステムズ

OpenSolaris (sparc)

OpenSolaris (x86)

Sun Solaris 10 (sparc)

Sun Solaris 10 (x86)

レッドハット

Red Hat Enterprise Linux 4 (as)

Red Hat Enterprise Linux 4 (es)

Red Hat Enterprise Linux 4 (ws)

Red Hat Enterprise Linux 5 (server)

Red Hat Enterprise Linux Desktop 4.0

Red Hat Enterprise Linux Desktop 5.0 (client)

RHEL Desktop Workstation 5 (client)

ヒューレット・パッカード

HP-UX 11.11

HP-UX 11.23

HP-UX 11.31

Sendmail Consortium

sendmail 8.14.4 未満

IBM

IBM AIX 5.3

IBM AIX 6.1

IBM VIOS 1.5

IBM VIOS 2.1

ターボリナックス

Turbolinux Appliance Server 2.0

Turbolinux Server 10

Turbolinux Server 10 (x64)

サイバートラスト株式会社

Asianux Server 3 (x86)

Asianux Server 3 (x86-64)

Asianux Server 3.0

Asianux Server 3.0 (x86-64)

Asianux Server 4.0

Asianux Server 4.0 (x86-64)

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-4565	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4565
National Vulnerability Database (NVD)
2	CVE-2009-4565	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4565

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html

ベンダー情報

No	Name	URL
Asianux Technical Support Network
1	sendmail-8.13.8-8.0.1.AXS3	https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=1025
HP Security Bulletin
2	HPSBUX02508	http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?lang=en&cc=us&objectID=c02009860
IBM
3	5002	http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=5002
IBM Support Document
4	IZ72834	http://www-01.ibm.com/support/docview.wss?uid=isg1IZ72834
5	IZ72835	http://www-01.ibm.com/support/docview.wss?uid=isg1IZ72835
6	IZ72836	http://www-01.ibm.com/support/docview.wss?uid=isg1IZ72836
7	IZ72837	http://www-01.ibm.com/support/docview.wss?uid=isg1IZ72837
8	IZ89860	http://www-01.ibm.com/support/docview.wss?uid=isg1IZ89860
MIRACLE LINUX アップデート情報
9	2189	http://www.miraclelinux.com/support/index.php?q=node/99&errata_id=2189
Red Hat Security Advisory
10	RHSA-2010:0237	https://rhn.redhat.com/errata/RHSA-2010-0237.html
11	RHSA-2011:0262	https://rhn.redhat.com/errata/RHSA-2011-0262.html
Sendmail
12	8.14.4	http://www.sendmail.org/releases/8.14.4
Sun Alert Notification
13	275870	http://sunsolve.sun.com/search/document.do?assetkey=1-66-275870-1
Turbolinux Security Advisory (英語)
14	TLSA-2010-3	http://www.turbolinux.com/security/2010/TLSA-2010-3.txt
製品セキュリティ情報
15	TLSA-2010-3	http://www.turbolinux.co.jp/security/2010/TLSA-2010-3j.txt

その他

No	Name	URL
Secunia Advisory
1	SA37998	http://secunia.com/advisories/37998
SecurityFocus
2	37543	http://www.securityfocus.com/bid/37543
VUPEN Security
3	VUPEN/ADV-2009-3661	http://www.vupen.com/english/advisories/2009/3661

Change Log

No	Changed Details	Date of change
0	[2010年02月02日] 掲載 [2010年04月02日] 影響を受けるシステム：IBM (5002) の情報を追加影響を受けるシステム：ヒューレット・パッカード (HPSBUX02508) の情報を追加影響を受けるシステム：レッドハット (RHSA-2010:0237) の情報を追加ベンダ情報：IBM (5002) を追加ベンダ情報：ヒューレット・パッカード (HPSBUX02508) を追加ベンダ情報：レッドハット (RHSA-2010:0237) を追加 [2010年05月07日] 影響を受けるシステム：サン・マイクロシステムズ (275870) の情報を追加影響を受けるシステム：ミラクル・リナックス (sendmail-8.13.8-8.0.1.AXS3) の情報を追加ベンダ情報：サン・マイクロシステムズ (275870) を追加ベンダ情報：ミラクル・リナックス (sendmail-8.13.8-8.0.1.AXS3) を追加 [2010年06月03日] ベンダ情報：IBM (IZ72834) を追加ベンダ情報：IBM (IZ72835) を追加ベンダ情報：IBM (IZ72836) を追加ベンダ情報：IBM (IZ72837) を追加 [2011年03月18日] 影響を受けるシステム：ミラクル・リナックス (2189) の情報を追加影響を受けるシステム：レッドハット (RHSA-2011:0262) の情報を追加ベンダ情報：ミラクル・リナックス (2189) を追加ベンダ情報：レッドハット (RHSA-2011:0262) を追加 [2011年05月26日] ベンダ情報：IBM (IZ89860) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-4565

Summary	sendmail before 8.14.4 does not properly handle a '\0' character in a Common Name (CN) field of an X.509 certificate, which (1) allows man-in-the-middle attackers to spoof arbitrary SSL-based SMTP servers via a crafted server certificate issued by a legitimate Certification Authority, and (2) allows remote attackers to bypass intended access restrictions via a crafted client certificate issued by a legitimate Certification Authority, a related issue to CVE-2009-2408.
Publication Date	Jan. 5, 2010, 6:30 a.m.
Registration Date	Jan. 29, 2021, 1:27 p.m.
Last Update	Sept. 19, 2017, 10:29 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:sendmail:sendmail:2.6:::::::*
cpe:2.3:a:sendmail:sendmail:2.6.1:::::::*
cpe:2.3:a:sendmail:sendmail:3.0:::::::*
cpe:2.3:a:sendmail:sendmail:3.0.1:::::::*
cpe:2.3:a:sendmail:sendmail:4.1:::::::*
cpe:2.3:a:sendmail:sendmail:4.55:::::::*
cpe:2.3:a:sendmail:sendmail:5:::::::*
cpe:2.3:a:sendmail:sendmail:5.59:::::::*
cpe:2.3:a:sendmail:sendmail:5.61:::::::*
cpe:2.3:a:sendmail:sendmail:5.65:::::::*
cpe:2.3:a:sendmail:sendmail:8.6.7:::::::*
cpe:2.3:a:sendmail:sendmail:8.7.6:::::::*
cpe:2.3:a:sendmail:sendmail:8.7.7:::::::*
cpe:2.3:a:sendmail:sendmail:8.7.8:::::::*
cpe:2.3:a:sendmail:sendmail:8.7.9:::::::*
cpe:2.3:a:sendmail:sendmail:8.7.10:::::::*
cpe:2.3:a:sendmail:sendmail:8.8.8:::::::*
cpe:2.3:a:sendmail:sendmail:8.9.0:::::::*
cpe:2.3:a:sendmail:sendmail:8.9.1:::::::*
cpe:2.3:a:sendmail:sendmail:8.9.2:::::::*
cpe:2.3:a:sendmail:sendmail:8.9.3:::::::*
cpe:2.3:a:sendmail:sendmail:8.10:::::::*
cpe:2.3:a:sendmail:sendmail:8.10.0:::::::*
cpe:2.3:a:sendmail:sendmail:8.10.1:::::::*
cpe:2.3:a:sendmail:sendmail:8.10.2:::::::*
cpe:2.3:a:sendmail:sendmail:8.11.0:::::::*
cpe:2.3:a:sendmail:sendmail:8.11.1:::::::*
cpe:2.3:a:sendmail:sendmail:8.11.2:::::::*
cpe:2.3:a:sendmail:sendmail:8.11.3:::::::*
cpe:2.3:a:sendmail:sendmail:8.11.4:::::::*
cpe:2.3:a:sendmail:sendmail:8.11.5:::::::*
cpe:2.3:a:sendmail:sendmail:8.11.6:::::::*
cpe:2.3:a:sendmail:sendmail:8.11.7:::::::*
cpe:2.3:a:sendmail:sendmail:8.12:beta10::::::
cpe:2.3:a:sendmail:sendmail:8.12:beta12::::::
cpe:2.3:a:sendmail:sendmail:8.12:beta16::::::
cpe:2.3:a:sendmail:sendmail:8.12:beta5::::::
cpe:2.3:a:sendmail:sendmail:8.12:beta7::::::
cpe:2.3:a:sendmail:sendmail:8.12.0:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.1:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.2:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.3:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.4:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.5:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.6:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.7:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.8:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.9:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.10:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.0:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.1:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.1.2:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.2:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.3:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.4:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.5:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.6:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.7:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.8:::::::*
cpe:2.3:a:sendmail:sendmail:8.14.1:::::::*
cpe:2.3:a:sendmail:sendmail:8.14.2:::::::*
cpe:2.3:a:sendmail:sendmail::::::::		8.14.3

Related information, measures and tools

No	URL	refsource	タグ
1	http://lists.opensuse.org/opensuse-security-announce/2010-03/msg00004.html	SUSE
2	http://marc.info/?l=bugtraq&m=126953289726317&w=2	HP
3	http://secunia.com/advisories/37998	SECUNIA	Vendor Advisory
4	http://secunia.com/advisories/38314	SECUNIA
5	http://secunia.com/advisories/38915	SECUNIA
6	http://secunia.com/advisories/39088	SECUNIA
7	http://secunia.com/advisories/40109	SECUNIA
8	http://secunia.com/advisories/43366	SECUNIA
9	http://security.gentoo.org/glsa/glsa-201206-30.xml	GENTOO
10	http://sunsolve.sun.com/search/document.do?assetkey=1-77-1021797.1-1	SUNALERT
11	http://www.debian.org/security/2010/dsa-1985	DEBIAN
12	http://www.redhat.com/support/errata/RHSA-2011-0262.html	REDHAT
13	http://www.securityfocus.com/bid/37543	BID
14	http://www.sendmail.org/releases/8.14.4	CONFIRM	Patch
15	http://www.vupen.com/english/advisories/2009/3661	VUPEN	Patch Vendor Advisory
16	http://www.vupen.com/english/advisories/2010/0719	VUPEN
17	http://www.vupen.com/english/advisories/2010/1386	VUPEN
18	http://www.vupen.com/english/advisories/2011/0415	VUPEN
19	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A10255	OVAL
20	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A11822	OVAL

Common Vulnerabilities List

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:sendmail:sendmail:2.6:::::::*
cpe:2.3:a:sendmail:sendmail:2.6.1:::::::*
cpe:2.3:a:sendmail:sendmail:3.0:::::::*
cpe:2.3:a:sendmail:sendmail:3.0.1:::::::*
cpe:2.3:a:sendmail:sendmail:4.1:::::::*
cpe:2.3:a:sendmail:sendmail:4.55:::::::*
cpe:2.3:a:sendmail:sendmail:5:::::::*
cpe:2.3:a:sendmail:sendmail:5.59:::::::*
cpe:2.3:a:sendmail:sendmail:5.61:::::::*
cpe:2.3:a:sendmail:sendmail:5.65:::::::*
cpe:2.3:a:sendmail:sendmail:8.6.7:::::::*
cpe:2.3:a:sendmail:sendmail:8.7.6:::::::*
cpe:2.3:a:sendmail:sendmail:8.7.7:::::::*
cpe:2.3:a:sendmail:sendmail:8.7.8:::::::*
cpe:2.3:a:sendmail:sendmail:8.7.9:::::::*
cpe:2.3:a:sendmail:sendmail:8.7.10:::::::*
cpe:2.3:a:sendmail:sendmail:8.8.8:::::::*
cpe:2.3:a:sendmail:sendmail:8.9.0:::::::*
cpe:2.3:a:sendmail:sendmail:8.9.1:::::::*
cpe:2.3:a:sendmail:sendmail:8.9.2:::::::*
cpe:2.3:a:sendmail:sendmail:8.9.3:::::::*
cpe:2.3:a:sendmail:sendmail:8.10:::::::*
cpe:2.3:a:sendmail:sendmail:8.10.0:::::::*
cpe:2.3:a:sendmail:sendmail:8.10.1:::::::*
cpe:2.3:a:sendmail:sendmail:8.10.2:::::::*
cpe:2.3:a:sendmail:sendmail:8.11.0:::::::*
cpe:2.3:a:sendmail:sendmail:8.11.1:::::::*
cpe:2.3:a:sendmail:sendmail:8.11.2:::::::*
cpe:2.3:a:sendmail:sendmail:8.11.3:::::::*
cpe:2.3:a:sendmail:sendmail:8.11.4:::::::*
cpe:2.3:a:sendmail:sendmail:8.11.5:::::::*
cpe:2.3:a:sendmail:sendmail:8.11.6:::::::*
cpe:2.3:a:sendmail:sendmail:8.11.7:::::::*
cpe:2.3:a:sendmail:sendmail:8.12:beta10::::::
cpe:2.3:a:sendmail:sendmail:8.12:beta12::::::
cpe:2.3:a:sendmail:sendmail:8.12:beta16::::::
cpe:2.3:a:sendmail:sendmail:8.12:beta5::::::
cpe:2.3:a:sendmail:sendmail:8.12:beta7::::::
cpe:2.3:a:sendmail:sendmail:8.12.0:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.1:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.2:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.3:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.4:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.5:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.6:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.7:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.8:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.9:::::::*
cpe:2.3:a:sendmail:sendmail:8.12.10:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.0:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.1:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.1.2:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.2:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.3:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.4:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.5:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.6:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.7:::::::*
cpe:2.3:a:sendmail:sendmail:8.13.8:::::::*
cpe:2.3:a:sendmail:sendmail:8.14.1:::::::*
cpe:2.3:a:sendmail:sendmail:8.14.2:::::::*
cpe:2.3:a:sendmail:sendmail::::::::		8.14.3