Linux 版 (精华区)

发信人: qubo (qubo), 信区: Linux
标  题: 邮件服务器 "sendmail" 发现严重漏洞！
发信站: 哈工大紫丁香 (2003年09月22日08:51:54 星期一), 站内信件

http://china.nikkeibp.co.jp/china/news/int/int200309190113.html当地时间
9 月 17 日，美国 CERT/CC 等组织发布 警告 称：邮件服务器软件 "sendmail" 发现了新
的安全漏洞。当被人发送做过手脚的邮件后，就可能产生缓存溢出，从而在邮件服务器上
运行任意程序，或者关闭 sendmail，属于严重安全漏洞。不管商用还是非商用版，几乎所
有的 sendmail 均受影响。其对策是安装补丁程序，或升级。管理员必须尽快采取措施。 


受此安全漏洞的影响的是 sendmail 8.12.9 以前的版本（含 8.12.9 版本）。安全漏洞公
布时的最新版本就是 8.12.9，因此如若不采取对策，所有的 sendmail 服务器都将受到影
响。捆绑于商用 UNIX、Linux 和 FreeBSD 等软件中的 sendmail 当然也受影响。这些捆
绑的 sendmail 如果开发商加入了自主开发的版本，就必须加以注意。以 8.12.9 以前的 
sendmail 版本为基础的商用邮件服务器软件也同样会受影响。

"安全漏洞公开时的最新版本也受影响"、"只要接收被人做了手脚的邮件，就可能执行任意
代码"，在这两点上类似于 2003 年 3 月 3 日和 3 月 29 日公开的安全漏洞。不过此次
的安全漏洞不同于上述 2 种漏洞。但是，影响与这些漏洞同样严重。

对策是升级到安全漏洞得到修复的最新版本，或者安装补丁程序。比如，关于非商用版 
sendmail，消除了安全漏洞的 "sendmail 8.12.10" 已经公开。源代码补丁程序 也已公开
。 

产品中捆绑 sendmail 的 OS 开发商和提供基于 sendmail 的邮件服务器软件的开发商也
已推出了修正版本和补丁程序。各自的情况请参考 CERT/CC 和各家开发商公开的信息。另
外，由于 CERT/CC 提供的信息会随时更新，因此请多加参考。如果 CERT/CC 的页面和开
发商的 Web 站点没有相关信息，有时开发商会向安全邮件列表 "Bugtraq" 投稿。如果没
有找到相关信息，建议看一看 Bugtraq 中的文章。 

另外，恶意使用此漏洞执行代码时，代码是在 sendmail 的运行权限下执行的（通常是 
root 权限）。因此为了缩小被人恶意使用时的影响，CERT/CC 建议使用 sendmail 的 
"RunAsUser" 选项，限制 sendmail 的运行权限。将软件的运行权限设置到最小限度是基
本的安全理论，且行之有效。但是对于此次的安全漏洞，仅仅这样还不够。必须尽快升级
或安装补丁程序。 

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.228.146]