阿里云漏洞库

漏洞描述

Sendmail是美国Sendmail公司的一款免费开源的邮件传输代理。

Sendmail 8.14.9之前版本的conf.c文件中'sm_close_on_exec'函数存在信息泄露漏洞。由于执行程序之前未能正确关闭文件说明符。本地攻击者可通过自定义的mail-delivery程序利用该漏洞操纵开放的SMTP连接。

解决建议

请安装厂商已发布的最新版本或补丁：
http://www.sendmail.com/sm/open_source/download/8.14.9/

参考链接
ftp://ftp.sendmail.org/pub/sendmail/RELEASE_NOTES
http://advisories.mageia.org/MGASA-2014-0270.html
http://lists.fedoraproject.org/pipermail/package-announce/2014-June/134349.html
http://lists.opensuse.org/opensuse-updates/2014-06/msg00032.html
http://lists.opensuse.org/opensuse-updates/2014-06/msg00033.html
http://packetstormsecurity.com/files/126975/Slackware-Security-Advisory-sendm...
http://secunia.com/advisories/57455
http://secunia.com/advisories/58628
http://security.gentoo.org/glsa/glsa-201412-32.xml
http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A11.sendmail.asc
http://www.mandriva.com/security/advisories?name=MDVSA-2014:147
http://www.mandriva.com/security/advisories?name=MDVSA-2015:128
http://www.securityfocus.com/bid/67791
http://www.securitytracker.com/id/1030331
http://www.sendmail.com/sm/open_source/download/8.14.9/
http://www.slackware.com/security/viewer.php?l=slackware-security&y=2014&m=sl...
https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_n...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	hp	hpux	*		Up to (including) b.11.31
	运行在以下环境
	应用	sendmail	sendmail	*		Up to (including) 8.14.8
	运行在以下环境
	应用	sendmail	sendmail	8.10	-
	运行在以下环境
	应用	sendmail	sendmail	8.10.0	-
	运行在以下环境
	应用	sendmail	sendmail	8.10.1	-
	运行在以下环境
	应用	sendmail	sendmail	8.10.2	-
	运行在以下环境
	应用	sendmail	sendmail	8.11.0	-
	运行在以下环境
	应用	sendmail	sendmail	8.11.1	-
	运行在以下环境
	应用	sendmail	sendmail	8.11.2	-
	运行在以下环境
	应用	sendmail	sendmail	8.11.3	-
	运行在以下环境
	应用	sendmail	sendmail	8.11.4	-
	运行在以下环境
	应用	sendmail	sendmail	8.11.5	-
	运行在以下环境
	应用	sendmail	sendmail	8.11.6	-
	运行在以下环境
	应用	sendmail	sendmail	8.11.7	-
	运行在以下环境
	应用	sendmail	sendmail	8.12.0	-
	运行在以下环境
	应用	sendmail	sendmail	8.12.1	-
	运行在以下环境
	应用	sendmail	sendmail	8.12.10	-
	运行在以下环境
	应用	sendmail	sendmail	8.12.11	-
	运行在以下环境
	应用	sendmail	sendmail	8.12.2	-
	运行在以下环境
	应用	sendmail	sendmail	8.12.3	-
	运行在以下环境
	应用	sendmail	sendmail	8.12.4	-
	运行在以下环境
	应用	sendmail	sendmail	8.12.5	-
	运行在以下环境
	应用	sendmail	sendmail	8.12.6	-
	运行在以下环境
	应用	sendmail	sendmail	8.12.7	-
	运行在以下环境
	应用	sendmail	sendmail	8.12.8	-
	运行在以下环境
	应用	sendmail	sendmail	8.12.9	-
	运行在以下环境
	应用	sendmail	sendmail	8.13.0	-
	运行在以下环境
	应用	sendmail	sendmail	8.13.1	-
	运行在以下环境
	应用	sendmail	sendmail	8.13.2	-
	运行在以下环境
	应用	sendmail	sendmail	8.13.3	-
	运行在以下环境
	应用	sendmail	sendmail	8.13.4	-
	运行在以下环境
应用	sendmail	sendmail	8.13.5	-
运行在以下环境
应用	sendmail	sendmail	8.13.6	-
运行在以下环境
应用	sendmail	sendmail	8.13.7	-
运行在以下环境
应用	sendmail	sendmail	8.13.8	-
运行在以下环境
应用	sendmail	sendmail	8.14.0	-
运行在以下环境
应用	sendmail	sendmail	8.14.1	-
运行在以下环境
应用	sendmail	sendmail	8.14.2	-
运行在以下环境
应用	sendmail	sendmail	8.14.3	-
运行在以下环境
应用	sendmail	sendmail	8.14.4	-
运行在以下环境
应用	sendmail	sendmail	8.14.5	-
运行在以下环境
应用	sendmail	sendmail	8.14.6	-
运行在以下环境
应用	sendmail	sendmail	8.14.7	-
运行在以下环境
应用	sendmail	sendmail	8.6.7	-
运行在以下环境
应用	sendmail	sendmail	8.7.10	-
运行在以下环境
应用	sendmail	sendmail	8.7.6	-
运行在以下环境
应用	sendmail	sendmail	8.7.7	-
运行在以下环境
应用	sendmail	sendmail	8.7.8	-
运行在以下环境
应用	sendmail	sendmail	8.7.9	-
运行在以下环境
应用	sendmail	sendmail	8.8.8	-
运行在以下环境
应用	sendmail	sendmail	8.9.0	-
运行在以下环境
应用	sendmail	sendmail	8.9.1	-
运行在以下环境
应用	sendmail	sendmail	8.9.2	-
运行在以下环境
应用	sendmail	sendmail	8.9.3	-
运行在以下环境
系统	debian	DPKG	*		Up to (excluding) 8.14.4-6
运行在以下环境
系统	debian_10	sendmail	*		Up to (excluding) 8.14.4-6
运行在以下环境
系统	debian_11	sendmail	*		Up to (excluding) 8.14.4-6
运行在以下环境
系统	debian_12	sendmail	*		Up to (excluding) 8.14.4-6
运行在以下环境
系统	debian_7	sendmail	*		Up to (excluding) 8.14.4-4+deb7u1
运行在以下环境
系统	fedoraproject	fedora	20	-
运行在以下环境
系统	freebsd	freebsd	*		Up to (including) 9.2
运行在以下环境
系统	suse_11	sendmail	*		Up to (excluding) 8.14.3-50.24
运行在以下环境
系统	ubuntu_14.04	sendmail	*		Up to (excluding) 8.14.4-4.1ubuntu1.1
运行在以下环境
系统	ubuntu_14.04.6_lts	sendmail	*		Up to (excluding) 8.14.4-4.1ubuntu1.1
运行在以下环境
系统	ubuntu_16.04.7_lts	sendmail	*		Up to (excluding) 8.14.4-7
运行在以下环境
系统	ubuntu_18.04.5_lts	sendmail	*		Up to (excluding) 8.14.4-7
运行在以下环境
系统	ubuntu_18.10	sendmail	*		Up to (excluding) 8.14.4-7

攻击路径

本地
攻击复杂度

困难
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

-

CWE-ID	漏洞类型
CWE-200	信息暴露

低危 sendmail信息泄露漏洞

漏洞描述

解决建议

参考链接

受影响软件情况