Sendmail にご用心

Sendmail Consortium は3日、広く普及しているメールサーバーソフト『Sendmail』の、従来版に存在した脆弱性を解消した新版『Sendmail 8.12.8』(オープンソース版) をリリースした。同脆弱性は、ヘッダー解析に関する「重大なセキュリティ上の欠陥」で、Internet Security Systems の X-Force 部門が発見したもの。

Sendmail はその歴史も長く、現在最も普及しているメール転送エージェント (MTA) のため、影響の大きさが懸念される。今回の脆弱性は、意図的に手を加えたメールヘッダーを処理する際に、バッファオーバーフローが発生するという内容で、Sendmail の動作に割り当てているユーザー権限 (通常はルート権限、すなわちスーパーユーザー権限を割り当てる) による攻撃を受ける恐れがある。オープンソース版だけではなく、Sendmail Inc. が手がける商用版も同じ脆弱性を含んでいる。

対象となるのは従来版のおよそ全てで、オープンソース版については対策済みの新版のほか、従来版用対応パッチも配布している。また商用版でも、各製品用の対応パッチを配布中だ。

CERT/CC も同時にセキュリティ勧告を発表し、注意を呼びかけている。

Sendmail のような Eメールサーバーは、外部のメールを受け取るため、一般にインターネットに対して無防備になっている。今回の脆弱性は、特別なセッションを張るといった形式ではなく、故意にいじったメッセージの送致で発現するという点が重要で、ファイアウォールやパケットフィルターでは防御するのが難しい。また組織の規模がある程度以上大きくなれば、外向けの受け口になるメールサーバーに加え、部署ごとにもメールサーバーを置くというような、他段式の構成を組むことが多く、先に述べた意図的なメッセージによって発現するという特質上、こうした内部で運用する Sendmail も被害を受ける危険性がある。

CERT/CC によれば、今回の脆弱性は悪意を持つ者たちの関心を、おおいに引きつけるおそれがあり、そうなれば被害が広範におよぶ可能性が高くなるという。そのため CERT/CC は、直ちに対策を施すよう促している。