A levelezőszerver és a Delírium Utolsó Fázisa

[SearchSecurity.com] A héten a világ e-mail

[SearchSecurity.com] A héten a világ e-mail forgalmának jelentős részét (körülbelül 50-75 százalékát) továbbító Sendmail nevű, UNIX, Linux és Windows rendszerekhez egyaránt elérhető szerverszoftverben távolról is kihasználható biztonsági problémát találtak. Néhány órával a levelezőszerverek rendszergazdáit szoftverfrissítésre késztető Sendmail-probléma nyilvánosságra hozatala után egy biztonsági kérdésekkel foglalkozó független lengyel csoport olyan kódot tett közzé, amely képes kihasználni a hibát egy bizonyos Linux-disztribúción (Slackware).

A négy informatikushallgatóból álló LSD-csoport (Last Stage of Delirium, azaz a Delírium Utolsó Fázisa) az említett kódot a BugTrack weboldalán publikálta. A Sendmailen a biztonsági rést egy puffertúlcsordulási hiba nyitja meg, amely lehetővé teszi akár távoli felhasználók számára is a rendszergazdai jogkörrel való kódvégrehajtást. Az LSD-csoport a hibát kihasználó kódot részletesen kommentálta is, így könnyebben tanulmányozható a probléma.

Eric Allman, a Sendmail egyik fejlesztője és a Sendmail kereskedelmi változataival foglalkozó Sendmail Inc. műszaki vezérigazgatója egy ma reggel adott interjújában elmondta, hogy ugyan még nem próbálta ki az LSD-csoport kódját, de semmi oka sincs kételkedni annak működésében. Allman egyébként jobban örült volna annak, ha a lelkes fiatalok még várnak néhány napot a biztonsági hibát kihasználó kód közzététele előtt.

Mivel a probléma kihasználásának módja platformról platformra változik, és alapos rendszerismeretet követel, többek szerint a helyzet nem is olyan súlyos. Ennek ellenére a vezető Linux-disztribútorok már kiadták a Sendmail biztonsági frissítéseit.