Linux 版 (精华区)

发信人: qubo (qubo), 信区: Linux
标  题: 邮件服务器 "sendmail" 发现严重漏洞!
发信站: 哈工大紫丁香 (2003年09月22日08:51:54 星期一), 站内信件

http://china.nikkeibp.co.jp/china/news/int/int200309190113.html当地时间
9 月 17 日,美国 CERT/CC 等组织发布 警告 称:邮件服务器软件 "sendmail" 发现了新
的安全漏洞。当被人发送做过手脚的邮件后,就可能产生缓存溢出,从而在邮件服务器上
运行任意程序,或者关闭 sendmail,属于严重安全漏洞。不管商用还是非商用版,几乎所
有的 sendmail 均受影响。其对策是安装补丁程序,或升级。管理员必须尽快采取措施。 


受此安全漏洞的影响的是 sendmail 8.12.9 以前的版本(含 8.12.9 版本)。安全漏洞公
布时的最新版本就是 8.12.9,因此如若不采取对策,所有的 sendmail 服务器都将受到影
响。捆绑于商用 UNIX、Linux 和 FreeBSD 等软件中的 sendmail 当然也受影响。这些捆
绑的 sendmail 如果开发商加入了自主开发的版本,就必须加以注意。以 8.12.9 以前的 
sendmail 版本为基础的商用邮件服务器软件也同样会受影响。

"安全漏洞公开时的最新版本也受影响"、"只要接收被人做了手脚的邮件,就可能执行任意
代码",在这两点上类似于 2003 年 3 月 3 日和 3 月 29 日公开的安全漏洞。不过此次
的安全漏洞不同于上述 2 种漏洞。但是,影响与这些漏洞同样严重。

对策是升级到安全漏洞得到修复的最新版本,或者安装补丁程序。比如,关于非商用版 
sendmail,消除了安全漏洞的 "sendmail 8.12.10" 已经公开。源代码补丁程序 也已公开
。 

产品中捆绑 sendmail 的 OS 开发商和提供基于 sendmail 的邮件服务器软件的开发商也
已推出了修正版本和补丁程序。各自的情况请参考 CERT/CC 和各家开发商公开的信息。另
外,由于 CERT/CC 提供的信息会随时更新,因此请多加参考。如果 CERT/CC 的页面和开
发商的 Web 站点没有相关信息,有时开发商会向安全邮件列表 "Bugtraq" 投稿。如果没
有找到相关信息,建议看一看 Bugtraq 中的文章。 

另外,恶意使用此漏洞执行代码时,代码是在 sendmail 的运行权限下执行的(通常是 
root 权限)。因此为了缩小被人恶意使用时的影响,CERT/CC 建议使用 sendmail 的 
"RunAsUser" 选项,限制 sendmail 的运行权限。将软件的运行权限设置到最小限度是基
本的安全理论,且行之有效。但是对于此次的安全漏洞,仅仅这样还不够。必须尽快升级
或安装补丁程序。 

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.228.146]
[百宝箱] [返回首页] [上级目录] [根目录] [返回顶部] [刷新] [返回]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:1.967毫秒