【セキュリティ】
sendmailにまたもや深刻なバッファオーバーフロー脆弱性
■URL
http://www.cert.org/advisories/CA-2003-12.html
http://www.sendmail.org/8.12.9.html(8.12.9のダウンロードサイト)
米CERT/CCなどは29日、メールサーバーとして多大なシェアを持つ「sendmail」に深刻なバッファオーバーフロー脆弱性を発見したと発表した。オープンソース版、商用版共に影響を受ける。なお、3月3日に発見された脆弱性とは異なるので、注意が必要だ。
今回の脆弱性は、悪意のあるプログラムを含んだメールをsendmailが受信するとバッファオーバーフローを引き起こし、sendmailの実行権限と同等の権限を奪われる可能性があるというもの。
この脆弱性はsendmailがメールに含まれるヘッダ情報を処理する際に発生するため、内部ネットワークに設置されているsendmailであっても、外部から中継されたメールを受け取ることによって、この問題が発生する可能性がある。また悪意あるプログラムを含んだメールは、通常のメールと判別することが難しいため、ファイアウォールやIDSで防ぐことは難しく、sendmail自体に対策を行なわなければならない。
対象となるバージョンは、以下の通り。
○オープンソース版
- sendmail 8.12.9より以前のバージョン
○商用版
- Sendmail Pro(全てのバージョン)
- Sendmail Switch 2.1(2.1.6より以前のバージョン)
- Sendmail Switch 2.2(2.2.6より以前のバージョン)
- Sendmail Switch 3.0(3.0.4より以前のバージョン)
- Sendmail for NT 2.X(2.6.3より以前のバージョン)
- Sendmail for NT 3.0(3.0.4より以前のバージョン)
- sendmail 8.12.8より以前のバージョンを含んでいるUNIX/Linux OS
対策方法は、オープンソース版の場合、最新バージョンであるバージョン「8.12.9」にアップグレードすることが推奨されている。商用版の場合は、SendmailのWebサイト上で対応パッチが提供されているため、それを適用すればよい。
◎関連記事
■sendmail、第三者にroot権限を奪われる深刻な脆弱性
(2003/3/31)
[Reported by otsu-j@impress.co.jp]
|