ポーランドのハッカーグループLSD(Last Stage of Delirium)は米国時間3月4日、先日のSendmailのセキュリティホールを悪用するコードを、実用例としてメーリングリストで公開した。
このコードが投稿されたのは、Sendmailのセキュリティホールが発表されてから1日も経たたないうちだった。投稿によると、セキュリティホールのあるSendmailをRed Hat LinuxまたはSlackware Linux上で稼動している場合、攻撃者が遠隔操作でメールサーバを乗っ取ることができるという。
LSDは、「幸いなことに、セキュリティホールの影響を受けるプラットフォームは限られている」としながらも、「急いで分析したため、セキュリティホールを悪用する別の方法を見逃している可能性がある」と警告している。
先日発見されたセキュリティホールは、メールヘッダを解析するセキュリティ機能の1つで発生する。米Internet Security Systems(ISS)が発見し、3月3日に発表した。このセキュリティホールは15年以上も存在していたとされている。オープンソース版Sendmailのプロジェクト、Sendmail Consortiumによると、IBM、Hewlett-Packard(HP)、Apple Computer、Sun Microsystemsのほか、Red HatなどのLinuxベンダーを含む多くの企業が、該当するバージョンのSendmailを提供しているという。
しかし、LSDの分析から、当初考えられていたほど様々なタイプのSendmailサーバが影響を受けるかどうかは疑問であることも判明した。これに対してSendmail Consortiumの創設者で、米Sendmailの最高技術責任者のEric Allmanは「そういった考え方が問題なのだ」と警告する。「セキュリティホールを悪用する他の方法があるかもしれない。とにかくパッチを当ててほしい」(Allan)
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
「ストリートビュー」が捉えたクレイジーすぎる光景38連発 
2024年、スマートウォッチはどう変わる?--AI機能強化、デザインも変化か 
写真で見る「Ai Pin」--手のひらに投影できるウェアラブルAIデバイス