2003年09月19日(金) 13時10分

『Sendmail』に新たなバッファオーバフロー脆弱性（japan.internet.com）

CERT/CC は18日、運用数の多い Eメール配送プログラム『 Sendmail 』に、新たなバッファオーバフローの脆弱性がみつかり、攻撃者に任意のプログラムコード実行を許すおそれがあるとの セキュリティ警告 を出した。

CERT/CC の警告によると、同脆弱性はオープンソース版の Sendmail 8.12.10 より前の版 (UNIX および Linux 版を含む) と、『Sendmail Switch』『Sendmail Advanced Message Server (SAMS)』『Sendmail for NT』といった商用版の両方に存在するという。同脆弱性により、一般的に root 権限で運用する例が多い同プログラムが、悪意あるユーザーに利用されるおそれがある。

同脆弱性は、Sendmail のメールアドレス解析コードに存在する。具体的には「prescan」関数に問題があり、攻撃者にバッファ終端以降への書き込みを許し、メモリ構造の破壊が起きる。これがバッファオーバーフローという問題で、プラットフォームや OS のアーキテクチャによっては、意図的に細工した Eメールで任意のプログラムコードを実行できる可能性がある。

CERT は今回の脆弱性が、通信プロトコル上の問題ではなく、メッセージ解析の段階で顕在化することが大事な点としている。すなわち、同脆弱性を抱えていない Eメール配送プログラムは、問題のあるメッセージをそのまま次の Eメール配送プログラムに転送してしまうということで、ネットワーク的に外部との境界となる Eメール配送プログラムに、今回の脆弱性を含まないものものを使っていても、同脆弱性を持つ内部の Sendmail サーバーは保護できないということだ。

CERT は Sendmail ユーザーに対し、最新版の 8.12.10 にアップグレードするか、8.9.x から 8.12.9 に対応するパッチを適用するよう勧告している。また、完全な回避策ではないとしながらも、攻撃の被害を緩和するため、「RunAsUser」オプションを有効にして、Sendmail を root 以外のユーザー権限で実行することも勧めている。

Debian、F5 Networks、IBM、NetBSD、Red Hat、The Sendmail Consortium、Sun Microsystems、SuSE など、Sendmail を採用しているベンダーやグループも、パッチを出すなどして問題の解決にあたっている。


最新ITニュースメールの購読申込はこちら
http://japan.internet.com/mail/newsletters.html （japan.internet.com）

http://headlines.yahoo.co.jp/hl?a=20030919-00000012-inet-sci