| エンタープライズ:ニュース | 2003/08/06 14:52:00 更新 |
オープンソース Update:Postfix 1.1にサービスダウンの脆弱性
2003年8月4日、Sendmailに代わるMTA(メール転送エージェント)として人気のあるPostfixの一部バージョンにおいて、セキュリティ上の問題が見つかった。至急の対策がアナウンスされている。
PostfixはSendmailに代わるMTA(メール転送エージェント)ソフトウェア。デファクトスタンダードな「Sendmail」と設定の互換、そして容易さを両立するソフトとして人気がある。Red Hatディストリビューションにも標準で組み込まれ、着実にシェアを伸ばしている存在だ。
2003年8月4日、「Postfix 1.1」に存在した複数のセキュリティ上の脆弱性が発表され、修正版「1.1.13」がリリースされた。今回発表された脆弱性は、メールサーバがDoS攻撃(サービス拒否攻撃)を受けてサービスが停止してしまうほか、ネットワーク上のほかホストへの「踏み台」となる可能性がある点。そのため、問題が存在するPostfixを運用している場合は、早期のアップデートもしくは対策を行うことが望ましいとアナウンスされている。
脆弱性は「1.1」系列のみに存在する
今回修正された脆弱性は、現在リリースされている「Postfix」のうち、比較的古いリリースである「1.1」系列にのみに存在するものだ。Postfix 2.0以降には、この脆弱性は存在しない。つまり、Postfix 2.0以降を運用しているシステムでは、この脆弱性の影響はない。
脆弱性内容は主に2つ
1. 1.1にアドレスの解析処理の欠陥が見つかった。このためリモートから作為的に作成したメールを送ることで、Postfixを「停止」できてしまう可能性がある。この問題は、「1.1.8」以前のリリース、また「1.1.9」〜「1.1.12」においては「append_dot_mydomain」を「no」に設定している場合にのみ発生するものだ(CAN-2003-0540)。
2. 悪意を持つクラッカーが攻撃目標とするPostfix稼働サーバのホスト名、およびポート番号の情報をメールのヘッダ部分に組み込むと、該当ポートへのTCP接続を確立できてしまう可能性がある。
この問題点を利用してPostfix稼働ホストを「ポートスキャナ」として利用される、もしくは分散DoS攻撃の「踏み台」として悪用される可能性がある。この問題は、前リリースの「1.1.12」で修正された(CAN-2003-0468)。
解決方法はパッチ適用か1.1.13へのアップデート
今回発見された脆弱性を無くすためのいちばん早い手段は、発表された修正パッチを適用するか、稼動中の旧リリースを「1.1.13」に置き換えることだ。また、Postfixの開発者Wietse Venema氏によるアナウンスメールでは、Postfixの設定上で脆弱性を回避する方法も紹介されている。
もうひとつの別解として、稼働中の旧リリースを「Postfix 2.0」にリプレースすることでも対応できる。しかし、メジャーバージョンの異なるリリース間でのアップデートは、設定ファイルや挙動の非互換性から、新たなトラブルを引き起こす可能性がある。
このため、今回の脆弱性に対応するだけの目的であれば、まずは「1.1.13」に置き換える、もしくは修正パッチを適当するのが確実だろう。
関連記事
オープンソース Update:Postfix(2.0系列)関連リンク
オープンソース UpdateLinux チャンネルThe Postfix Home Page[長谷川 猛,ITmedia]
