米CERT/CCなどは米国時間3月29日,メール・サーバー・ソフト「sendmail」に見つかった新たなセキュリティ・ホールを警告した。細工が施されたメールを受信すると,sendmailが停止したり,任意のプログラムを実行されたりする恐れがある。商用,非商用版を問わず,ほとんどすべてのsendmail(Sendmail)が影響を受ける。対策はパッチの適用やバージョン・アップ。

 CERT/CCの情報によると,影響を受けるsendmail(Sendmail)は以下の通り。

・オープンソースのsendmail(バージョン8.12.8以前)
・UNIX/Linux OSに同梱されているsendmail(バージョン 8.12.8までのsendmailに基づくもの)
・Sendmail Pro(すべてのバージョン)
・Sendmail Switch 2.1(バージョン2.1.6以前)
・Sendmail Switch 2.2(バージョン 2.2.6以前)
・Sendmail Switch 3.0(バージョン 3.0.4以前)
・Sendmail for NT 2.X(バージョン2.6.3以前)
・Sendmail for NT 3.0(バージョン3.0.4以前)

 「ほとんどすべてのsendmail(Sendmail)が影響を受ける」「セキュリティ・ホールが公開された時点での最新バージョンも影響を受ける」「細工が施されたメールを受信するだけで影響を受ける」――といった点では,3月3日に公開されたセキュリティ・ホールと似ているが,今回見つかったのは全く別のセキュリティ・ホールなので注意してほしい。

 3月3日に公開されたセキュリティ・ホール同様,細工が施されたメールを受信すると,sendmailはバッファ・オーバーフローを引き起こす可能性がある。その結果,sendmailが停止させられる――すなわち,サービス妨害(DoS)攻撃を許す――恐れがある。さらに,sendmailサーバー上で任意のプログラムを実行される恐れもある。

 対策はパッチの適用や,セキュリティ・ホールがないバージョンへのアップグレード。例えば,オープンソースのsendmailについては,バージョン 8.9~8.12用のパッチが公開されている。セキュリティ・ホールを修正した最新バージョン8.12.9も公開されている。オープンソース版以外については,各ベンダーのWebページを参照してほしい。各ベンダーの対応状況はCERT/CCのページに記載されている。

【3月31日追記】米SendmailとSendmail Consortiumは,セキュリティ・ホールを修正した8.11.xの最新版「sendmail 8.11.7」をリリースしている(3月31日14時現在,同ページのタイトルは「Sendmail 8.11.8」となっているが,これは「Sendmail 8.11.7」の誤りであると考えられる)。8.11.7では,今回のセキュリティ・ホールおよび3月3日に公開されたセキュリティ・ホールの両方が修正されている。

 同ページによると,現在 8.11.x は,Sendmail Consortiumが積極的にメンテナンスするバージョンではない。しかしながら,セキュリティに関する問題が相次いだため,パッチだけではなく,セキュリティ・ホールを修正したバージョンも用意したという。バージョン8.11.7の詳細や,8.11.7のダウンロード・サイトは,sendmail.orgのページに記載されている。【3月31日追記ここまで】

◎参考資料
CERT Advisory CA-2003-12 Buffer Overflow in Sendmail(米CERT/CC)
メールサーバソフト(sendmail)の脆弱性(CA-2003-12)について(警察庁)
Email Processing Vulnerability in Sendmail(米ISS)
Sendmail 8.12.9(sendmail.org)
Sendmail にバッファオーバーフローの脆弱性(JPCERT/CC Vendor Status Notes)
Sendmail Security Alert(米Sendmail)
Sendmail 8.11.8(sendmail.org)

(勝村 幸博=IT Pro)