パスワードを忘れた? アカウント作成
6409 story

sendmail 8.12.xにDNS経由で任意コードが実行可能な穴 61

ストーリー by Oliver
いにしえのMTA 部門より

Anonymous Coward曰く、 "Certの"Vulnerability Note"および各ディストリビューションのSecurity Advisoriesによると、バージョン8.12.8以前(8.12系のみ)のSendmailに潜在的に存在していたセキュリティホールが見つかったようです。Sendmail 8.12.9では、fixされています。
攻撃者がsendmailサーバーへ巧妙に工作した不正なDNSレスポンスを送ることによってsendmailデーモンをクラシュさせたり、任意のコードを実行すること出来る可能性があるようです。
2003年3月末に大きな問題となった "CERT Advisory CA-2003-12 のBuffer Overflow in Sendmail”の時点では気が付いていないバグだたようです。したがって、このときに公開されたsendmail.8.12.security.cr.patchには 今回のパッチが含まれていません。
FEATURE(`enhdnsbl')の指定によって顕在化するもののようなで、disable にすれば回避できるかもしれませんが、これによって運用上問題が生じるようであればやはり根本的な対応をした方が良いと思います。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • アナウンス [sendmail.org]に
    Note that only FEATURE(`enhdnsbl') uses a DNS map. We do not have an assessment whether this problem is exploitable, however, if you use a DNS map and an 8.12 version older than 8.12.9, then either upgrade (strongly recommended) or apply the trivial patch given below.
    とある通りですが、自分の Sendmail が DNSMAP オプション付きでコンパイルされているかどうか、また enhdnsbl 機能を使っているかどうかも判らない人がメールマスターをやっているなら、今回のはバグには違いないので、ゴチャゴチャ言わずに 8.12.9 に上げる方がいいでしょう。

    # セキュリティーに敏感でスキルのあるメールマスターならとっくに 8.12.9 に上げてると思いますが・・・

    • /. で私がバッシングを受けるのはいつものことだが・・・と思っていましたが、私は自分自身、たいしたスキルは無いと思っていますが、それでも前回の Sendmail の脆弱性が見つかった際には頑張って 8.12.9 に上げました。それで、私ですら 8.12.9 にしてるのに、と思いまして。
      今回のは 8.12.9 では直っている問題だし深刻度も大した事なさそうだし・・とも思いまして。まあ、以前のバージョンにパッチを当てて使い続けて、今回もまたパッチを当てて使う、でもOKですけどね。でもそこまでする位なら最新バージョンにするほうがずっといいと思いますけど。
      親コメント
    • ただのちゃちゃ (スコア:0, フレームのもと)

      by Anonymous Coward
      セキュリティーに敏感でスキルのあるメールマスターならとっくに qmail に移行すべきです
      • メールマスターじゃなくてポストマスターって言わない?
        親コメント
      • 釣られてみるテスト (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2003年08月27日 12時39分 (#386488)
        「うち qmail だからセキュリティホールないしぃ」といって
        逆に他の穴に対して鈍感になる管理者。
        親コメント
      • どうしてこう (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2003年08月27日 12時57分 (#386499)
        qmail信者は勧誘が強引なんだろうね?
        私はそういう雰囲気がいやでpostfixを使っているクチですが。

        何にせよ選択肢があるのは良い事です。

        #qmail信者に刺されるのがいやなのでAC
        親コメント
        • by SteppingWind (2654) on 2003年08月27日 18時48分 (#386734)

          下手な営業と同じで, 困っている人に解決策を与えるのが目的ではなく, qmailを使わせることが目的の様に見えますからね. この記事みたいに他のMTAが話題になっていても, 何の前提も出すことなくqmail使えじゃ信者呼ばわりされても仕方ないように私も思います.

          せめて何故sendmailが使われているのか, 何故sendmailでバグが見つかりやすいのかあたりから話を広げて, 条件付きでqmailを一例として勧めるとかのアプローチを取れば見方も変わるんでしょうけどね.

          親コメント
        • by Anonymous Coward
          Q: sendmailで××ってしたいんですけど、どうしたらいいでしょう?
          A: qmailなら○○ってすればできますよ。sendmail捨て

          こういう感じの人のことかな?確かにイヤかも
      • おっしゃる通りですね。最近出たのは7月15日の QMail-SMTPD-Auth True Program Remote E-Mail Vulnerability [securityfocus.com] ぐらいだしね。
        親コメント
        • それは、単なるユーザのパッチなので qmail とはいえないのでは? qmail 自体は、少なくとも 1997 年以降、セキュリティーホールは発見されていないようですけど。このページ The qmail security guarantee [cr.yp.to] では、
          In March 1997, I offered $500 to the first person to publish a verifiable security hole in the latest version of qmail: for example, a way for a user to exploit qmail to take over another account.

          My offer still stands. Nobody has found any security holes in qmail.
          と言っているぐらいだから。
          親コメント
          • 設定をミスっても Open Relay に悪用されないようにするための非公式パッチなようですが、 qmail は設定ミスると Open Relay に悪用されるのを脆弱性と言わないなら、それはそれで一つの考えかも。
            親コメント
            • QMail-SMTPD-AuthはSMTP-Authの機能を後付けするパッチかと。

              qmailはデフォルト設定ではオープンリレーは許可しませんし。
              よって、自宅のマシンからプロバイダ経由で会社のメールサーバにつないで送信することも不可能。
              #自宅に固定IPとかを持っていれば別ですが・・・

              まあ、それだと不便だから件のパッチのようなものが出てくるわけですけどね。

              こうしたパッチをあてずに満足できるならqmailは一番と個人的には思います。
              いろいろやろうとすると面倒になってきますけどね。
              私の手元ではメールサーバとしては内部のデーモンが管理者宛にメールを送信する程度の機能があれば
              いいサーバは全部qmailにしてあります。
              親コメント
              • ./config で control/locals と共に FQDN がセットされるはずです。 もしや、./config してない環境で qmail を動かすことを「デフォルト」と呼んでいるの?

                いくらなんでも、それじゃあ DJB に同情したくなりますね。

                親コメント
              • Postfixやqmailはメールサーバとして使う場合に導入されるケースが多い(放置マシン等はsendmailが多い)と考えられます。

                リンク先の統計に関してですが、数だけ見ても仕方ないものではないでしょうか。

                MXが引けるか?
                メールサーバ/ローカル利用での各MTAの利用比率は?

                等の情報が(結果としての数字ではなく、設定ミスをする割合を論じるには)必要だと思います。

                # でもとりあえずPostfixの少なさは立派。

                正直に言うとrcpthostsをスペルミスして(笑)数日間放置してしまったことがあるのですが、チェックして気付きました。
                幸いにして悪用はされていませんでしたが、いくらなんでもグローバルに置くサーバは(どのMTAを使っていても)確認しましょう。
                親コメント
              • 手順が抜けるというのも「間違った」場合だろうから一緒にするとして、./config を実行せず control/me さえ無い状態で qmail が機能するかも置くとして、control/ 下のファイルの内容も確認せずに「安全」を問われる場所のメイルサーバーを動かすことの是非も度外視したとして…

                なんらかの間違いで rcpthosts を消してしまった場合、どう動くべきか?

                私なんかは、間違えた通りに動いて欲しいと思ってしまう。 勝手に知らない挙動をされるのは迷惑だし。 さらに、すべて受け付けるか、すべて拒否するか、倒れる先のどちらが「安全側」かは単純には決められない。大事な顧客のメイルをすべて弾いてしまうと、顧客へのメイルが RBL で弾かれるとのでは、後者の方がまだましなので、より安全であると判断する立場だってあるはず。

                なにが「安全」かといえば、make setup で ./config まで実行するようにしとくべきだったって事だろうね。

                そういう話とは関係なく、あれこれ考えていて、rcpthosts が無い場合の仕様はおかしいと思うようになった。rcpthosts は受け付けるべき RCPT TO の内容を列挙するためのファイルなんだから、それがカラだったり無かったりしたら、すべて拒否する方が自然だよな。単に、RCPT TO の内容を問わないようにするだけなら、環境変数 RELAYCLIENT で実現できるわけだし、

                このあたりのバランスは良くないやね。locals と rcpthosts の関係も、もうちょっといい設計ができたんではないかと思う。

                親コメント
            • 文章を読むと、あたかも件のパッチを当てていない qmail だけが設定を間違えると Open Relay になるかのように読めますが、パッチをあてて smtp-auth を導入したとしても、qmail 以外の MTA である sendmail、postfix、exim などを導入したとしても、間違った設定をしたら Open Relay になる可能性があるように思いますが。
              親コメント
            • by Anonymous Coward on 2003年08月27日 15時04分 (#386626)
              「何言ってんだこの人は」って思った人は俺だけですか?
              最後は否定的肯定で〆てますが、その否定自体が間違ってる。
              設定を間違ってもOpenRelayにならないMTAって何ですか?
              親コメント
            • 設定ミスで Open Relay になることを脆弱性といわれたらかないませんなー。
          • 1つだけ 作者自身が発見したセキュリティホール [monyo.com]があります。
            親コメント
        • qmail信者的には、これはqmailのセキュリティホールではないと主張されると思います。
        • それはdjbの作ったプログラムじゃないやい、
          djbはそんなミスなんか犯さないんだい、てな感じで
          擁護発言が出たりするのを見そうになる気がしてこわいです。

          あの人のは、その辺ではあたりまえとして考えられていることを
          あえて「やらなくてもいい」と考えて実装しないでいたりして、
          それはそれで正しいとは思うのだけど、
          その分周
          • 使い分けたらよいのではないでしょうか? 無理に全部qmailにしなくてもよいと思いますが。うちは、FWまわりにqmailを、次段でウィルス除去して、内部はsendmailあり、Postfixもありですが。
      • by denchu (6847) on 2003年08月27日 17時08分 (#386683)
        eximじゃ駄目ですか?(^^;
        親コメント
      • by Anonymous Coward
        qmailは思想的に(っていうか作者が)いやだ、という人もいるのでは…
        • Re:ただのちゃちゃ (スコア:2, おもしろおかしい)

          by TxG (7966) on 2003年08月27日 14時35分 (#386605)
          ちょっとあきらめモードですがファイルの配置とプロセステーブルが嫌です…。

          qmail食わばdjbdnsまで。
          親コメント
        • by Anonymous Coward
          解説キボンヌ。
        • by Anonymous Coward
          必要だから使っています。仕事にそういう趣味は持ち込まないので。
          • by Anonymous Coward
            同じく。
            vpopmailを使いたいためだけに使っています。
            # 仕事だから仕方ないよねってことで
        • by Anonymous Coward
          qmailが日本で嫌われる理由(予想):
          ・DJBの脳内理想だけで構築されていて、現実的とは思えない箇所がいくつかある。
          ・ドキュメントや解説文が「DJBの言うとおりにしてれば安全なんです」といわんばかりの風潮で、理由の詳細がわかりづらい
          ・qmail.jpの氏の人格,言動
        • by Anonymous Coward
          qmail使ってます。
          思想がどうとかよりも大きな穴があかない点で即決です。
          もう2年以上つかってますが一度もバージョンアップしてない(する必要がない)(というかバージョンアップがない)です。

          難解な .cf や度重なるセキュリティホール発覚で心を砕かれている管理者様には同情します。:-p
        • by Anonymous Coward
          作者よりも信者が嫌。
  • by Anonymous Coward on 2003年08月27日 20時05分 (#386767)
    ゲット アンド メーク(ダンディ坂野風に)

    #makeしたまま放置してinstall忘れてる罠(T_T
    #で、設定ファイルは古いままでも大丈夫なのかな?(ぉ
    #接続するとSendmail 8.12.9/8.12.6を名乗るのでAC
typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...