邮件服务器“sendmail”的新漏洞

美国CERT/CC等组织近日发布警告称：邮件服务器软件“sendmail”发现了新的安全漏洞。当被人发送做过手脚的邮件后，就可能产生缓存溢出，从而在邮件服务器上运行任意程序，或者关闭sendmail，这属于严重安全漏洞。不管商用还是非商用版，几乎所有的sendmail均受影响，其对策是安装补丁程序或升级。
受此安全漏洞影响的是sendmail 8.12.9以前的版本（含8.12.9版本）。安全漏洞公布时的最新版本就是8.12.9，因此如若不采取对策，所有的sendmail服务器都将受到影响。捆绑于商用Unix、Linux和FreeBSD等软件中的sendmail当然也受影响，必须加以注意。
关于非商用版sendmail，消除了安全漏洞的“sendmail 8.12.10”已经公开，源代码补丁程序也已公开。 产品中捆绑sendmail的OS开发商和提供基于sendmail的邮件服务器软件的开发商也已推出了修正版本和补丁程序，各自的情况请参考CERT/CC和各家开发商公开的信息。另外，由于CERT/CC提供的信息会随时更新，因此请多加参考。如果CERT/CC的页面和开发商的Web站点没有相关信息，有时开发商会向安全邮件列表“Bugtraq”投稿。如果没有找到相关信息，建议看一看Bugtraq中的文章。另外，恶意使用此漏洞执行代码时，代码是在sendmail的运行权限下执行的（通常是root权限）。因此，为了缩小被人恶意使用时的影响，CERT/CC建议使用sendmail的“RunAsUser”选项，限制sendmail的运行权限。将软件的运行权限设置到最小限度是基本的安全理论，且行之有效。但是对于此次的安全漏洞，仅仅这样做还不够，必须尽快升级或安装补丁程序。

作者:北京 瞿视