エンタープライズ:ニュース | 2002/10/09 21:02:00 更新 |
Sendmailソースコードにトロイの木馬
米CERT/CCは米国時間の10月8日、電子メールサーバソフトウェア「Sendmail」のソースコードが改ざんされ、トロイの木馬が仕込まれている可能性があると警告し、ソースコードの正当性を、PGP署名やMD5チェックサムを用いて検証すべきとしている。
米CERT/CCは米国時間の10月8日、電子メールサーバソフトウェア「Sendmail」のソースコードが改ざんされ、トロイの木馬が仕込まれている可能性があるとしてアドバイザリを発行した。
このアドバイザリによれば、トロイの木馬が仕込まれている可能性があるのは、SendmailのFTPサイト「ftp.sendmail.org」から配布された「sendmail.8.12.6.tar.Z」と「sendmail.8.12.6.tar.gz」で、9月28日ごろから10月6日の22時までの間に配布されていたという。このFTPサイトはその後停止されている。
CERT/CCは、HTTP経由でダウンロードされたコピーには、トロイの木馬が含まれていない可能性が高いとしながらも、念のため予防措置を取るよう呼びかけている。
このSendmailをビルドするとトロイの木馬が起動し、リモートサーバにTCP/6667ポートで接続してシェルを開こうとする。攻撃者はこの裏口を通じて、リモートからのアクセス権限を取得し、Sendmailをビルドしたシステム上でさまざまなコードを実行できてしまう可能性がある。
しかもこのとき得られる権限は、ソースコードをビルドしたユーザーの権限。もしrootでビルドしていれば、root権限が奪取されてしまうことになる。また影響があるのも、Sendmailデーモンが稼働しているシステムではなく、Sendmailをビルドしたシステムである。
CERT/CCはこの問題に対し、幾つかの対策を紹介している。対症療法的な方法は、TCP/6667ポートを塞ぐこと。また、もし9月28日以降にSendmailのソースコードをダウンロードしていた場合、ビルドはroot以外の権限で行うことだ。
最も基本的、かつ重要なことは、入手したソースコードにトロイの木馬が含まれていないかどうかを、PGP署名やMD5チェックサムを用いて確認することだ(ただし、HTTPSではなくHTTPで配布されている公開鍵が、果たして本当に正しいものであるかどうか、という議論は残る)。
いずれにせよアドバイザリでは、「タイムスタンプやファイルサイズに頼るのでは不十分だ」と警告しており、Sendmail本家だけでなく、パッケージの再配布を行っているサイトやミラーサイトを通じてSendmailのソースコードを入手したユーザーに、それが改ざんされたものでないかどうか検証するよう強く推奨している。
関連リンクCERT Advisory CA-2002-28 Trojan Horse Sendmail Distribution
Sendmail
[ITmedia]