月曜日, 3月 15, 2010

Sendmail CA SSLの認証問題

CA(SSL)の認証問題がありSendmailメールサーバが偽物SSL認証をバイパスされてしまいます。

このバグに付いてSendmailバージョン8.14.4迄影響が出ます。

原因はCA(SSL)の認証確認コードの中にNULL characterバグがあり NULL characterが入ってると認証が完了になってしまいます。詰まりスパマーはこのバグを使って沢山スパムメールをSendmailメールサーバ経由で沢山スパムを遅れます。
man-in-the-middle攻撃仕組みを使ったらこのバグの再現が出来ます。

このバグに付いてメーカーよりパッチをリリースされました。コンパイル版はSendmail consortiumサイト(ftp.sendmail.org)からSendmailバージョン8.14.4のtar.gzダウンロードが出来ます、またそれぞれのunixディストリビューションサイトからバイナリーダウンロードが殆ど出来上がりました。詳しいディストリビューションのパッチ情報は下記のurlへご覧下さい↓
http://www.securityfocus.com/bid/37543/solution

本件のバグに付いて2009年12月の中に発見されており ディストリビューションパッチ確認時間がかかり昨日の時点でSecurityFocusのアラートが出ました。

早めにSendmailバージョン8.14.4のアップグレード又はセキュリティパッチのインストールがお勧めです。
日本に付いてSendmailメールサーバが多いですので本件の注意が必要です。特に日本側にも、このバグに当たって、少しずつスパム攻撃が増えるように見えます。

正式なアナウンスとリファレンスは下記となります↓
Sendmailより
http://www.sendmail.org/releases/8.14.4

SecurityFocusより
http://www.securityfocus.com/bid/37543

CVE Mitreのバグ登録番号↓
CVE-2009-4565

---
株式会社ケイエルジェイテック
http://www.kljtech.com
スパムモニターセンター

0 件のコメント:

コメントを投稿