米CERT/CCや米Internet Security Systems(ISS),米Sendmail.orgなどは米国時間3月3日,代表的なメール・サーバー・ソフト「sendmail」の深刻なセキュリティ・ホールを警告した。細工が施されたメールを受信するだけで,メール・サーバー・マシンの管理者権限を奪われる可能性がある。メールでの攻撃が可能なので,ファイアウオールなどで防ぐことは難しい。さらに,ほとんどすべてのsendmailが影響を受ける。メール・サーバー管理者は,一刻も早く対策を講じる必要がある。対策は,パッチの適用か,最新バージョン8.12.8へのバージョン・アップ。
今回のセキュリティ・ホールの影響を受けるsendmailは以下の通り(米CERT/CCの情報による)。商用,非商用を問わず,ほとんどすべてのバージョンが対象になる。
・オープンソースのsendmail 5.79 から 8.12.7まで(セキュリティ・ホールが公開されるまでの最新バージョンは8.12.7)
・UNIX/Linux OSに同梱されているsendmail(sendmail 5.79~8.12.7に基づくもの)
・Sendmail Pro(すべてのバージョン)
・Sendmail Switch 2.1(バージョン2.1.5以前)
・Sendmail Switch 2.2(バージョン 2.2.5以前)
・Sendmail Switch 3.0(バージョン 3.0.3以前)
・Sendmail for NT 2.X(バージョン2.6.2以前)
・Sendmail for NT 3.0(バージョン3.0.3以前)
今回のセキュリティ・ホールを発見したISSによると,sendmailにおいて,受信メールのヘッダー・フィールドをチェックするコードに,バッファ・オーバーフローのセキュリティ・ホールが見つかったという。このため,細工が施されたメールを送信されると,バッファ・オーバーフローが発生し,sendmailデーモンが稼働する権限(通常は管理者権限)で任意のコードを実行される恐れがある。この結果,メール・サーバー・マシンの管理者権限を奪われ,マシンを乗っ取られる可能性がある。
CERT/CCによると,攻撃を可能にするコード(メール)は現在のところ出回っていないという。しかしながら,近いうちに出回る可能性は高い。攻撃用のコードが出回れば,知識を持たない“スクリプト・キディ”でも攻撃が可能になる。コードが出回る前に,メール・サーバーの管理者は対策を施さなければならない。
対策はパッチを適用すること。オープンソース版および商用版のパッチはSendmail.orgのサイトからダウンロードできる。今回のセキュリティ・ホールを修正した最新バージョン8.12.8も公開されているので,バージョンアップすることも対策となる。
UNIX/Linux OSに同こんされているsendmailなどについては,各ベンダーからパッチあるいは修正版を入手して適用する。各ベンダーの対応状況はCERT/CCのページに詳しい。
CERT/CCによると,パッチあるいは修正版の適用以外の回避策は現在のところ存在しない。ただし,sendmailデーモンが稼働する権限を低くすること(管理者権限ではなくすこと)で,万が一の影響を緩和できるとしている。
先日被害をもたらした「SQL Slammer」ワーム“以上”のワームが出現する可能性は十分にありうる。止めることが難しいメール・サーバーではあるが,できるだけ早急に対応してほしい。
◎参考文献
◆CERT Advisory CA-2003-07 Remote Buffer Overflow in Sendmail(米CERT/CC)
◆Remote Sendmail Header Processing Vulnerability(米ISS)
◆Sendmail Security Alert(米Sendmail.org)
◆Remote Sendmail Header Processing Vulnerability(米NIPC)
◆Sendmail における深刻なセキュリティ脆弱性について(IPA/ISEC)
◆sendmail の脆弱性に関する注意喚起(JPCERT/CC)
◆Sendmailのヘッダー処理に対する脆弱性(インターネット セキュリティ システムズ)
◆Vendor Status Note JVNCA-2003-07 Sendmailに遠隔から攻略可能な脆弱性(JPCERT/CC Vendor Status Notes)
(勝村 幸博=IT Pro)
