米CERT/CCなどは米国時間9月17日,メール・サーバー・ソフト 「sendmail」に見つかった新たなセキュリティ・ホールを警告した。細工が施されたメールを送信されると,バッファ・オーバーフローが発生して,メール・サーバー上で任意のプログラムを実行されたり,sendmailを停止させられたりする恐れがある,危険なセキュリティ・ホールである。商用,非商用版を問わず,ほとんどすべてのsendmail(Sendmail)が影響を受ける。対策はパッチの適用やバージョン・アップ。管理者は早急に対応する必要がある。
今回のセキュリティ・ホールの影響を受けるのは,sendmail 8.12.9以前のバージョン(8.12.9を含む)。セキュリティ・ホールが公開された時点での最新バージョンは8.12.9なので,対策を施さない限り,すべてのsendmailサーバーが影響を受けることになる。商用UNIXやLinux,FreeBSDなどに同梱されているsendmailも当然影響を受ける。同梱されているsendmailは,ベンダーが独自にバージョンを付けている場合があるので注意する必要がある。バージョン8.12.9以前のsendmailをベースにしている商用メール・サーバー・ソフトも同様に影響を受ける。
「セキュリティ・ホールが公開された時点での最新バージョンも影響を受ける」「細工が施されたメールを受信するだけで任意のコードを実行させられる恐れがある」――という点では,2003年3月3日,3月29日に公開されたセキュリティ・ホールと似ているが,今回のセキュリティ・ホールはこれらとは異なる。ただし,影響度はこれらのセキュリティ・ホールと同程度に大きい。
対策は,セキュリティ・ホールが修正された最新版にバージョン・アップすることやパッチを適用すること。例えば,非商用版のsendmailについては,セキュリティ・ホールを修正した「sendmail 8.12.10」が公開されている。ソース・コードのパッチも公開されている。
sendmailを同梱しているOSベンダーやsendmailをベースにしたメール・サーバーを提供するベンダーも,修正バージョンやパッチを提供している。それぞれの提供状況はCERT/CCやそれぞれのベンダーが公開する情報を参考にしてほしい。なお,CERT/CCが提供する情報は適宜更新されるので,頻繁にチェックしたい。CERT/CCのページやベンダーのWebサイトに情報がない場合でもセキュリティ関連メーリング・リスト「Bugtraq」へベンダーから情報が投稿されている場合がある。情報が見つからない場合には, Bugtraqのアーカイブ(過去の投稿)をチェックしたい。
なお,セキュリティ・ホールを悪用してコードを実行する場合には,sendmailが稼働する権限で実行される(通常はroot権限)。このため,悪用された場合の影響を小さくするために,sendmailの「RunAsUser」オプションを使って,sendmailの実行権限を限定することをCERT/CCでは勧めている。ソフトウエアの実行権限を必要最小限にしておくことは,セキュリティのセオリーであり有用である。しかし,今回のセキュリティ・ホールについては,それだけでは不十分である。できるだけ早急にバージョン・アップあるいはパッチの適用を施す必要がある。
◎参考資料
◆Sendmail prescan() buffer overflow vulnerability(CERT/CC)
◆Sendmail 8.12.10(sendmail.org)
◆Sendmail 8.12.9 prescan bug (a new one)(Full-Disclosure)
◆CA-2003-25 Buffer Overflow in Sendmail(CERT/CC)
(勝村 幸博=IT Pro)
