Sendmailに重大なセキュリティホール

　インターネットで最も人気の高いメールサーバアプリケーションSendmailに、重大なセキュリティホールが発見された。現在、セキュリティ専門家やソフトウェアベンダーが顧客に対して早急にパッチを当てるよう呼びかけている。

　攻撃者は特別なフォーマットの電子メールを送信し、悪意のあるプログラムを実行する。その結果、Sendmailを運用しているメールサーバが攻撃者の管理下に置かれる可能性がある。

　Sendmailを開発する米Sendmailの会長で共同創立者のGreg Olsonは、「現時点で、このセキュリティホールを悪用する可能性のある攻撃プログラムは存在しない」としながらも、「これは非常に見つかりにくい問題であったということを理解してもらいたい」と説明する。「Sendmailのコードの中には15年の間このセキュリティホールが存在した。しかしこれまでずっと検査をくぐり抜けてきたのだ」（Olson）

　今回発見されたセキュリティホールは、皮肉にもSendmailのセキュリティ機能内に存在する。電子メールプログラムが長すぎるヘッダの解析を行う際に発生するのだ。セキュリティソフトウェア会社のInternet Security Systems（ISS）が昨年の12月に発見し、これを1月13日にSendmailと、NIPC（National Infrastructure Protection Center）に報告していた。

　攻撃は電子メールを介して仕掛けられるため、ファイアウォールや侵入検知システムの大半を通過してしまう。またISSは報告書の中で、「悪意のある者が攻撃を仕掛けるのに特別な知識は不要。このため非常に危険」と警告を発している。

　なおRed Hat、IBM、SGI、Sun Microsystems、HP（Hewlett-Packard）などは、すでにパッチを公開している。オープンソース版Sendmailの開発者コミュニティ、Sendmail Consortiumも、この問題を解決したSendmail 8.12.8をリリースしている。