словник | перекладачка | факти | тексти | програми
щодо | посилання | новини | гостьова книга | пошук
початок << тексти  << автор  << твір

CERT Advisory CA-2003-07
Remote Buffer Overflow in Sendmail

Рекомендація CERT CA-2003-07
Віддалене переповнення буфера в Sendmail

Дата першої публікації: March 3, 2003 Останнє поновлення: --
Джерело: CERT/CC

Повну історію поновлень можна знайти в кінці цього файла.

Системи під загрозою

  • Sendmail Pro (всі версії)

  • Sendmail Switch 2.1 prior to 2.1.5

  • Sendmail Switch 2.2 prior to 2.2.5

  • Sendmail Switch 3.0 prior to 3.0.3

  • Sendmail for NT 2.X prior to 2.6.2

  • Sendmail for NT 3.0 prior to 3.0.3

  • Системи, які використовують sendmail з відкритими текстами версій до 8.12.8, включаючи системи UNIX та Linux

Вступ

Знайдена помилка програми sendmail, користуючись якою віддалені нападники моюуть отримати привілеї демона sendmail (в більшості випадків - привілеї root).

I. Опис

Дослідники Internet Security Systems (ISS) відкрили віддалену вразливість в програмі sendmail, яка може бути використана віддалено. Ця вразливість програми може надати нападнику можливість отримати керування враженим сервером sendmail.

Більшість організацій мають великий набір поштових аґентів (mail transfer agents -- MTA, англ.) в різноманітних місцях своєї мережі, з щонайменше одним вузлом видимим в інтернеті. Оскільки sendmail є найбільш вживаним MTA, більшість організацій розміром від середнього до великого ймовірно мають хоча б один вразливий сервер sendmail. Додатково, багато робочих станцій з системами UNIX та Linux надають сервіс sendmail, який дозволений стандартною конфіґурацією і працює.

Ця вразливість орієнтована на поштове повідомлення на відміну від орієнтованої на з'єднання вразливості. Це означає, що вразливість може бути приведена в дію спеціально розробленим поштовим повідомленням, а не мережевою активністю більш низького рівня. Це важливо, оскільки MTA, який не підлягає такій вразливості, передасть це повідомлення до інших MTA, які можливо захищені на мережевому рівні. Іншими словами, вразливі сервери sendmail у внутрішній мережі (всередині захищеного периметру) все-одно знаходяться під ризиком атаки, навіть якщо системи по периметру захисту використовують інше, відмінне від sendmail програмне забезпечення. Додатково, поштові повідомлення, які можуть зловживати цією вразливістю можуть проходити непоміченими через більшість звичайних пакетних фільтрів чи брандмауерів (firewall).

Sendmail повідомив CERT/CC, що в лабораторних умовах вдалось успішно провести атаку на вразливий сервер. Ми віримо, що методика атаки невідома широкій публіці. Однак, дана вразливість напевне викличе широкий інтерес з боку закікавлених в проведенні атак, отже, ймовірність викриття методики атаки велика.

Успішна атака на сервер sendmail без встановленої латки не залишить жодних повідомлень в системному журналі. Однак, на системі з встановленою латкою, спроба використати дану вразливість залишить таке повідомлення:

Dropped invalid comments from header address

Хоча це повідомлення не надає гарантованих свідчень про атаку, воно може служити корисним індикатором.

Сервер sendmail з встановленою латкою знищить некоректні заголовки поштового повідомлення, захистивши таким чином наступні сервери від отримання їх.

В CERT/CC ця проблема зареєстрована за номером VU#398025. Цей номер відповідає кандидатурі CVE CAN-2002-1337.

Додаткову інформацію можна отримати за посиланнями: 

       http://www.sendmail.org
       http://www.sendmail.org/8.12.8.html
       http://www.sendmail.com/security/
       http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21950
       http://www.kb.cert.org/vuls/id/398025

II. Дія

Успішне зловживання цією вразливістю може надати атакуючому права користувача, з яким працює демон sendmail, типово користувач root. Навіть вразливі сервери всередині захищеного периметру можуть знаходитись під загрозою оскільки атака вмикається змістом злонавмисного поштового повідомлення.

III. Вирішення

Застосувати латку від Sendmail

Sendmail випустив латки для версій 8.9, 8.10, 8.11, та 8.12. Однак вразливість існує також в більш ранніх версіях програми. Зважаючи на це, адміністратори серверів заохочуються поновити програмне забезпечення до версії 8.12.8. Латки можна знайти за посиланнями 

       ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.security.cr.patch
       ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.11.6.security.cr.patch
       ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.9.3.security.cr.patch

Застосувати латку надану поставником

Багато поставників включають вразливсі сервери sendmail як частину своїх програмних поставок. Ми повідомили поставників про дану вразливість і записали їхні відповіді в розділі систем, під ризиком атаки в VU#398025. Кілька поставників надали заяву для прямого включення в ці рекомендації, ці заяви наведені в Додатку А.

Ввікнути параметр RunAsUser

Для даної вразливості невідомі обхідні шляхи забезпечення безпеки. До того часу, поки буде застосовано латку, Вам можливо краще застосувати параметр RunAsUser для зменшення можливої завданої шкоди від цієї вразливості. Як загальне правило CERT/CC рекомендує обмежувати привілеї програм чи сервісів, там де це тільки можливо.

Додаток A. - Інформація про поставників

Цей додаток містить інформацію надану поставниками щодо даних рекомендацій. По ходу того, як поставники будуть надавати нову інформацію CERT/CC, ми будемо поновлювати цей розділ і відмічати зміни в історії змін. Якщо якийсь конкретний поставник не знайдений в списку далі по тексту, це означає, що ми не отримали відповіді від них.

Apple Computer, Inc.

Для виправлення цієї проблеми опубліковано Security Update 2003-03-03. Пакунки створені для систем Mac OS X 10.1.5 і Mac OS X 10.2.4. Слід зауважити також, що в Mac OS X sendmail стандартно не вмикнений, отже тільки ті системи, на яких явним чином була дозволена робота sendmail можуть бути враженими. Однак, всі користувачі Mac OS X заохочуються до встановлення даного поновлення системи.

Avaya, Inc.

Avaya повідомлена про дану вразливість і досліджує можливі наслідки цього. Це твердження буде поновлене, як тільки стане відома нова інформація.

BSD/OS

Wind River Systems розробила латки, що адресують дану проблему. Латки доступні в звичайних місцях для кожного релізу. Латки, що мають відношення до даної проблеми: M500-006 для BSD/OS версії 5.0 чи Wind River Platform for Server Appliances 1.0, M431-002 для BSD/OS 4.3.1, чи M420-032 для систем BSD/OS 4.2.

Cisco Systems

Cisco досліджує цю проблему. Якщо ми визначимо, що якийсь з наших продуктів вразливий, інформація про це буде розміщена на: http://www.cisco.com/go/psirt

Cray Inc.

Програми, що постачаються компанією Cray, Inc. в системах Unicos, Unicos/mk, and Unicos/mp можуть бути вразливими. Cray відкрила SPRs 724749 і 724750 для досліджень.

Cray, Inc. невразливий для систем MTA.

Hewlett-Packard Company

SOURCE: 

            Hewlett-Packard Company
            HP Services
            Software Security Response Team

x-ref: SSRT3469 sendmail

HP надасть повідомлення про наявність латок стандартним шляхом розповсюдження бюлетенів безпеки і латки будуть доступні через звичайні канали супроводу HP.

IBM Corporation

Операційна система AIX версій 4.3.3, 5.1.0 і 5.2.0 вразлива до проблем з sendmail.

Тимчасова латка доступна через пакет efix, який може бути знайдений за адресою
ftp://ftp.software.ibm.com/aix/efixes/security/sendmail_efix.tar.Z

IBM надасть наступні офіційні рішення: 

          APAR номер для    AIX  4.3.3:  IY40500  (буде готово прибл.
          03/12/2003)
          APAR номер для    AIX  5.1.0:  IY40501  (буде готово прибл.
          04/28/2003)
          APAR номер для    AIX  5.2.0:  IY40502  (буде готово прибл.
          04/28/2003)

Openwall GNU/*/Linux

Система Openwall GNU/*/Linux не вразлива. Ми використовуємо MTA Postfix, а не sendmail.

Red Hat Inc.

Пакети sendmail, які невразливі для цієї проблеми наявні для систем Red Hat Linux, Red Hat Advanced Server і Red Hat Advanced Workstation. Користувачі Red Hat Network можут поновити свої системи викристовуючи засіб 'up2date'.

Red Hat Linux:

http://rhn.redhat.com/errata/RHSA-2003-073.html

Red Hat Linux Advanced Server, Advanced Workstation:

http://rhn.redhat.com/errata/RHSA-2003-074.html

SGI

SGI розпізнає важливість VU#398025 повідомленого CERT і випустила рекомендації для розв'язання вразливості на системі IRIX.

Зверніться до SGI Security Advisory (Рекомендація Безпеки SGI) 20030301-01-P яка доступна за адресами ftp://patches.sgi.com/support/free/security/advisories/20030301-01-P чи http://www.sgi.com/support/security/.

The Sendmail Consortium

Рекомендація Sendmail Consortium поновити sendmail до версії 8.12.8 якщо можливо. Альтернативно, встановіть латки для версій 8.9, 8.10, 8.11, і 8.12 за адресою http://www.sendmail.org/

Sendmail, Inc.

Всі комерційні випуски, включаючи Sendmail Switch, Sendmail Advanced Message Server (який включає Sendmail Switch MTA), Sendmail for NT, і Sendmail Pro вразливі до цієї проблеми. Інформація про латки доступна за адресою http://www.sendmail.com/security.

Наші подяки Internet Security Systems, Inc. за відшукання цієї проблеми і Еріку Олману (Eric Allman), Клаусу Асману (Claus Assmann) і Ґреґу Шапіро (Greg Shapiro) з Sendmail за попередження нас про цю проблему. Ми дякуємо обом групам за їхню допомогу в координації вирішення цієї проблеми.

Автори: Jeffrey P. Lanza і Shawn V. Hernan

This document is available from:
http://www.cert.org/advisories/CA-2003-07.html

Контактна інформація CERT/CC

Email: cert@cert.org 

          Phone: +1 412-268-7090 (24-hour hotline)
          Fax: +1 412-268-6989
          Postal address:
          CERT Coordination Center
          Software Engineering Institute
          Carnegie Mellon University
          Pittsburgh PA 15213-3890
          U.S.A.

Особий склад CERT/CC відповідає на дзвінки "горячої лінії" 08:00-17:00 EST(GMT-5) / EDT(GMT-4) з понеділка до п'ятниці; на протязі іншого часу, по святкових днях США і вихідних забезпечується телефонна підтримка.

Використання криптографії

Ми хочемо заохотити Вас закодовувати важливу інформацію, що надсилається електронною поштою. Наш публічний ключ PGP доступний за адресою:

http://www.cert.org/CERT_PGP.key

Якщо Ви надаєте перевагу використанню DES, будь ласка, скористайтесь "гарячою лінією" CERT для отримання додаткової інформації.

Отримання інформації про безпеку

Публікації CERT та інша інформація з безпеки розміщена на нашій сторінці http://www.cert.org/

Для підписки на поштову розсилку CERT для отримання рекомендацій та бюлетенів поштою надішліть листа на адресу majordomo@cert.org. Будь ласка, включіть в тіло Вашого листа

subscribe cert-advisory

  • "CERT" and "CERT Coordination Center" зареєстровані в Офісі патентів і торгівельних марок США.

    БЕЗ ГАРАНТІЙ
    Будь який матеріал опублікований університетом Карнеґі Мелон і Інститутом програмування (Carnegie Mellon University and the Software Engineering Institute) публікується на засадах "як є". Університет Карнеґі Мелон не надає жодних гарантій жодного типу, явно чи неявно виражених щодо будь яких умов, включаючи але не обмежуючись, гарантіями пригодності для будь якого конкретного застосування чи комерційної пригодності, напряму чи через результат отриманий від використання матеріалу. Університет Карнеґі Мелон не надає ніяких гарантій щодо патентної чистоти, чистоти торгівельних марок чи чистоти авторських прав.

Умови використання, права і інформація про спонсорство

Copyright 2003 Carnegie Mellon University.

Історія поновлень
Mar 03, 2003: перший випуск

Переклад українською: Дмитро Ковальов,

2003 рік, 3 березня.

вгору
 
[an error occurred while processing this directive] TopList
© 2000-2003, Київ, Соломко Валентин -- ідея та наповнення, графічне опрацювання -- проєкт дизайн, змiнено -- 08.06.2003 14:30:07