Sendmail にご用心

この記事のURLhttp://japan.internet.com/webtech/20030304/12.html

Sendmail Consortium は3日、広く普及しているメールサーバーソフト『Sendmail』の、従来版に存在した脆弱性を解消した新版『Sendmail 8.12.8』(オープンソース版) をリリースした。同脆弱性は、ヘッダー解析に関する「重大なセキュリティ上の欠陥」で、Internet Security Systems の X-Force 部門が発見したもの。

Sendmail はその歴史も長く、現在最も普及しているメール転送エージェント (MTA) のため、影響の大きさが懸念される。今回の脆弱性は、意図的に手を加えたメールヘッダーを処理する際に、バッファオーバーフローが発生するという内容で、Sendmail の動作に割り当てているユーザー権限 (通常はルート権限、すなわちスーパーユーザー権限を割り当てる) による攻撃を受ける恐れがある。オープンソース版だけではなく、Sendmail Inc. が手がける商用版も同じ脆弱性を含んでいる。

対象となるのは従来版のおよそ全てで、オープンソース版については対策済みの新版のほか、従来版用対応パッチも配布している。また商用版でも、各製品用の対応パッチを配布中だ。

CERT/CC も同時にセキュリティ勧告を発表し、注意を呼びかけている。

Sendmail のような Eメールサーバーは、外部のメールを受け取るため、一般にインターネットに対して無防備になっている。今回の脆弱性は、特別なセッションを張るといった形式ではなく、故意にいじったメッセージの送致で発現するという点が重要で、ファイアウォールやパケットフィルターでは防御するのが難しい。また組織の規模がある程度以上大きくなれば、外向けの受け口になるメールサーバーに加え、部署ごとにもメールサーバーを置くというような、他段式の構成を組むことが多く、先に述べた意図的なメッセージによって発現するという特質上、こうした内部で運用する Sendmail も被害を受ける危険性がある。

CERT/CC によれば、今回の脆弱性は悪意を持つ者たちの関心を、おおいに引きつけるおそれがあり、そうなれば被害が広範におよぶ可能性が高くなるという。そのため CERT/CC は、直ちに対策を施すよう促している。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。