Sendmail on Unix-käyttöjärjestelmän palvelimissa käytetty yleisin sähköpostiviestien välitysohjelmisto. Nyt sen tietoverkon kautta välitettävään jakelupakettiin tunkeilija on päässyt lisäämään haitallista ohjelmakoodia.
Viestintäviraston CERT-FI –tietoturvallisuusyksikön mukaan muokattu ohjelmisto avaa yhteyden ennalta määritettyyn järjestelmään porttiin 6667/tcp. Koodin avulla hyökkääjän on mahdollista käynnistää shell-käyttöliittymä niillä oikeuksilla, jotka ovat ohjelmistopaketin käännösprosessin käynnistäneellä käyttäjällä.
CERTin mukaan on huomattava, että haittaohjelmakoodi suoritetaan vain sendmail-ohjelmistopaketin lähdekoodin käännösprosessin yhteydessä.
Haavoittuvuudelle ovat alttiita järjestelmät joissa on käännetty seuraavien ohjelmistopakettien lähdekoodi: sendmail.8.12.6.tar.Z tai sendmail.8.12.6.tar.gz
Muutetut ohjelmistopaketit ovat olleet saatavilla ftp.sendmail.org -ftp-palvelimella 28.9 - 6.10.2002 aamuun Suomen aikaa. Muutetut ohjelmistopaketit on voitu kopioida myös ftp.sendmail.org -palvelinta kopioiville ftp-palvelimille.
Ratkaisu:
- Jos järjestelmän Sendmail-ohjelmistopaketti on haettu käännettäväksi 28.9 jälkeen, asennuksessa käytetyn ohjelmistopaketin PGP-allekirjoitus tai MD5-tarkistussummat on syytä tarkistaa CERT/CC-ohjeen CA-2002-28 mukaisesti.
- Jos tarkistussummat eivät täsmää, on tehtävä uusi Sendmail-asennus turvallisella ohjelmistoversiolla ja varmistuttava järjestelmän tietoturvatilanteesta.
- Lisäksi CERT-FI suosittelee kaiken ftp.senmail.org-palvelimesta 28. syyskuuta jälkeen haettujen ohjelmistopakettien eheyden tarkistamista erityisen huolellisesti.
Lisätietoja:
http://www.cert.org/advisories/CA-2002-28.html
http://www.sendmail.org
