エンタープライズ:ニュース 2003/03/31 23:30:00 更新


Sendmailに再びセキュリティホール

3月29日、米CERT/CCをはじめとする複数のセキュリティ関連機関が、「Sendmail」に深刻なセキュリティホールが存在するとして警告を発した。

 3月29日、米CERT/CCをはじめとする複数のセキュリティ関連機関が、オープンソースのメールサーバソフトウェア(MTU)、「Sendmail」に深刻なセキュリティホールが存在することを警告した。

 このセキュリティホールは、Sendmailの「prescan()」関数にバッファオーバーフローの脆弱性が存在することが原因だ。特別な仕掛けの電子メールを送り込むことによって、攻撃者がリモートからサービス拒否(DoS)攻撃を行ったり、任意のコードを実行させてしまう可能性があるという。

 Sendmailに関しては3月3日にも深刻なセキュリティホールが発見されたばかりだが、今回の問題とは別の、独立した問題である。ただし影響範囲の大きさは同様だ。

 オープンソースで配布されているSendmailでは、バージョン8.12.8以前にこのセキュリティホールが存在する。また商用版ではSendmail Proの全バージョンが影響を受けるほか、Sendmail Switch 2.1系列では2.1.5以前、同2.2系列では2.2.5以前、同3.0では3.0.3以前。さらにSendmail for NT 2.X系列の2.6.2以前と同3.0系列のうち3.0.3以前だ。また、たとえネットワーク内部で稼働しているSendmailといえども、MTUの仕組み上、このセキュリティホールを悪用した攻撃用メッセージの転送を受ければ、同様に被害に遭う可能性がある。

 対策は、例によってパッチの適用、もしくはアップグレードだ。オープンソース版は、修正を施した新バージョンの8.12.9を利用するか、8.12、8.11、8.9向けに公開されたパッチを適用する。また商用版については、米センドメイルがSendmail Switchなどに対するパッチを公開済みだ。さらに、幾つかのLinux、BSDでも修正パッチが公開されつつあるので、適宜確認する必要がある。さらにこの際、できればPGP署名の検証を行い、本当に正しいパッチであるかどうかを確認しておくほうが望ましいだろう。

関連記事
▼Sendmailに深刻な脆弱性
▼[WSJ] Sendmailの脆弱性は「ワームの格好のターゲット」

関連リンク
▼CERT Advisory CA-2003-12 Buffer Overflow in Sendmail
▼Sendmail.org
▼米センドメイル

[高橋睦美,ITmedia]



Special

- PR -

Special

- PR -