Очень серьезная уязвимость в почтовом агенте sendmail

04.03.2003 | 15:22
Вниманию всех системных администраторов! В популярном почтовом агенте (MTA) sendmail обнаружена серьезнейшая уязвимость, позволяющая при передаче специально сформированного почтового сообщения получить удаленный доступ на почтовом сервере.

По существующей статистике, процент почтовых серверов под управлением sendmail может достигать 50% в Интернет. Как сообщается, уязвимость была обнаружена Mark Dowd из ISS X-Force.

При приеме почтового сообщения sendmail производит разборку заголовков сообщения. Эти заголовки, в частности, содержат поля, содержащие адрес получателя либо списка получателей. В процессе семантического разбора этих полей производится проверка действительности адреса (либо списка адресов). При этом используется функция crackaddr() в файле headers.c. При обработке данных используется статический буфер, при этом sendmail проверяет заполненность буфера. При заполнении его дальнейшее пополнение символами прекращается, и производится проверка накопленных данных при помощи нескольких тестов безопасности для того, чтобы убедиться, что символы интерпретированы корректно.

В ходе анализа исходного кода было установлено, что одна из таких проверок работает некорректно, что делает возможным (при помощи специально формированного поля адреса) переполнить буфер и выполнить произвольный код от имени пользователя, запустившего MTA.

Уязвимость была проверена ISS на рабочей конфигурации. Существует во всех версиях sendmail до 8.12.7 включительно.

Sendmail.org в лице Claus Assmann анонсировала выход новой версии - 8.12.8, которая сейчас доступна на сайте в исходниках (при скачивании рекомендуется проверять сигнатуры). В самом анонсе также подчеркивается, что в качестве временной меры рекомендуется отключить IDENT-проверку в .mc-файле.

Также отреагировал CERT - выпущен бюллетень CA-2003-07. Обновлены пакеты sendmail у RedHat, SGI, FreeBSD, IBM, SuSE, MandrakeSoft, Connectiva. В каждом из бюллетеней фирм-производителей отмечается, что опасность уязвимости заключается в том, что ее невозможно перекрыть файрволлами при наличии во внутренней сети MTA sendmail. Наличие на мейл-эксченджерах (почтовых релэях) других MTA не предотвращает атаку, поскольку она передается в чистом виде к конечным почтовым серверам. Атака не оставляет никаких следов в лог-фалах! В новой версии (8.12.8) при попытке атаки в лог-файле фиксируется запись вида: "Dropped invalid comments from header address".

Предполагается наличие эксплоита, однако о появлении его в широких кругах пока ничего не известно.

ISS также объявила о включение определения наличия уязвимости в свои продукты - Internet Scanner XPU и System Scanner SR.

Описание - http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21950.

Бюллетень CERT - http://www.cert.org/advisories/CA-2003-07.html.

Senmail 8.12.8 (.tar.gz и .Z) - ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.8.tar.gz.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://uinc.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код