美国CERT/CC等于当地
时间3月29日
警告说,
邮件服务器软件“sendmail”发现新的
安全漏洞。如果收到被做过手脚的邮件,sendmail就会停止运行,或是可能运行任意程序。不论商用还是非商用版本,几乎所有的sendmail(Sendmail)都会受到影响。对策是安装补丁或是升级版本。
据CERT/CC的资料,受影响的sendmail(Sendmail)如下:
·开放源码的sendmail(8.12.8之前的版本)
·与UNIX/Linux OS捆绑
销售的sendmail(以8.12.8以前的版本为基础)
·Sendmail Pro(所有版本)
·Sendmail Switch 2.1(2.1.6之前的版本)
·Sendmail Switch 2.2(2.2.6之前的版本)
·Sendmail Switch 3.0(3.0.4之前的版本)
·Sendmail for NT 2.X(2.6.3之前的版本)
·Sendmail for NT 3.0(3.0.4之前的版本)
“几乎所有的sendmail(Sendmail)都会受到影响”、“就在安全漏洞被公开的时候,最新的版本也受到影响”、“只要收到做过手脚的邮件就会受到影响”——虽然这些特点与3月3日公开的安全漏洞极为相似,但此次发现的完全是另一种不同的漏洞,因此应该引起注意。
3月3日公开的漏洞也同样如此,如果收到做过手脚的邮件,sendmail就可能引起缓冲区溢出,结果就是sendmail停止运行——也就是说可能导致拒绝服务(DoS)攻击。还可能在sendmail服务器上运行任意程序。
对策是使用补丁及升级到没有安全漏洞的版本。比如,在开放源代码的sendmail方面,
公开了8.9~8.12版用的补丁。另外,还
公开了已对安全漏洞进行修正的最新版本8.12.9版。开放源代码版本之外的情况请参照各销售商的Web网页。CERT/CC的网页中刊登了各销售商的对应措施。
美国Sendmail与Sendmail Consortium
发布了已修正安全漏洞的8.11.x最新版“sendmail 8.11.7(截止当地
时间3月31日14时,该网页的标题仍为“Sendmail 8.11.8”,估计是“Sendmail 8.11.7”的笔误)。在8.11.7中,对此次的安全漏洞及3月3日公开的安全漏洞均进行了修正。
据上述网页称,目前的8.11.x并非Sendmail Consortium积极维护的版本。不过,由于接连不断地出现安全问题,因此不仅公布了补丁,还准备了修正漏洞后的版本。8.11.7版的具体情况及8.11.7的下载网站,都刊登在
sendmail.org的网页中。