パスワードを忘れた? アカウント作成
324306 story
セキュリティ

Exim 4.7x系のDKIM処理に脆弱性、任意のコードが実行される可能性 25

ストーリー by hylom
各自ご確認を 部門より

あるAnonymous Coward 曰く、

Exim 4.70以降に実装されているDKIM処理に脆弱性(CVE-2011-1764)が発見された。現在対策パッチや、この問題を修正したExim 4.76がリリースされている(The HExim 4.76のリリース告知)。

受け付けたメールメッセージに対するDKIM(DomainKeys Identified Mail)処理内で呼ばれている「dkim_exim_verify_finish()」関数内でのログメッセージ整形処理に問題があり、DKIM情報文字列に特定の文字列を入れることで任意のコードをメールサーバーで実行させることが出来てしまうというもののようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • またeximか (スコア:1, 興味深い)

    by Anonymous Coward on 2011年05月10日 16時14分 (#1949710)
    もう政治的な理由だけでexim使うのやめようよ
  • Debian歴10年以上のわたくしでも、管理している全環境で Postfix (or nullmailer) に入れ替えているというのに…

    DomainKey必要なら外部のフィルターつかうし
    Eximのいいところってどこなのか知りたい

    --
    # mishimaは本田透先生を熱烈に応援しています
    • by doda (31157) on 2011年05月10日 16時48分 (#1949732) 日記

      Debian歴10年以上のわたくしでも、管理している全環境で Postfix (or nullmailer) に入れ替えているというのに…

      Postfix にも memory corruption の問題(CVE-2011-1720)が見つかっていますので、最新版にバージョンアップしましょう。
      本家 (www.postfix.org) ではなぜかアナウンスが無くなっちゃっていますが、ミラー [postfix.jp]にはまだ残っていますね。

      問題が起きる条件としては、SMTP サーバ(smtpd) で Cyrus SASL による SMTP-AUTH を有効にしていて、認証方式として PLAIN, LOGIN 以外を使っている時です。
      自宅ではとりあえず SMTP-AUTH は Submission ポートのみ有効、STARTTLS 必須で PLAIN, LOGIN 認証のみを使えるようにしました。
      Cyrus SASL ではなく、Dovecot SASL を使うという対処も有ります。

      親コメント
    • 初 Linux が debian でメールサーバが exim が標準なのでスンナリ使い続けてますが、逆になぜ Postfix なのか知りたい...
      他を知らないので、そんなことを言われると不安になっちゃう

      --
      ん? 俺、今何か言った?
      親コメント
    • by Anonymous Coward

      やべぇ、セキュリティーアップデートかかってるか確認しなくっちゃ…
      とか思ってたら、ウチもpostfixに替えてたよ。

      いつからだろう?

      # というdebianユーザー

  • by Anonymous Coward on 2011年05月10日 16時24分 (#1949715)
    そろそろ、すべてのPCの脆弱性がある可能性がってニュースが出てきても驚かない
  • by Anonymous Coward on 2011年05月10日 16時41分 (#1949727)

    DKIMって普及しているのか、止まってるのか、よくわからん。

    http://www.dkim.jp/ [www.dkim.jp] は更新されてないし。

    • by Ryo.F (3896) on 2011年05月10日 17時49分 (#1949761) 日記

      どのくらい普及してるかは、自分のメールボックスを

      DKIM-Signature:

      でgrepしてみれば解るんじゃないか?
      私の手元のメールボックス(spam除去済み)だと、25/1788でした。

      親コメント
      • by Anonymous Coward

        とあるメーリングリストだとここ4年程で 290/3247 内、202通がgmail、29通がnifty、後は色々、でした。

    • by doda (31157) on 2011年05月10日 18時25分 (#1949786) 日記

      自分の知っている範囲だと、Google(GMailとか) や Twitter が署名してきますね。両方とも DomainKeys を併用しています。

      ただ、GMail 宛てに DKIM/DomainKeys の署名を付けたメールを出しても、検証していないような気がします。
      # Authentication-Result ヘッダが SPIF の物しかない
      # もしかすると SPIF の検証をする時に DKIM の Authentication-Result ヘッダを余計な物として削除しているのかも

      Twitter からのメールは、なぜかたまに検証に失敗しますが、Twitter 側と自分側のどっちの問題かは調べてません。

      自宅も DKIM/DomainKeys の署名/検証を行うようにしていますが、現状では殆ど役に立っていないですね。

      http://www.dkim.jp/ は更新されてないし。

      メンバー企業の内、Yahoo, ニフティ, 楽天は対応していなさそうです。
      # Yahoo は DomainKeys には対応している
      残りの 3 社は不明ですが、立場上流石に対応しているんじゃないでしょうか。

      親コメント
      • by Ryo.F (3896) on 2011年05月10日 22時03分 (#1949889) 日記

        メンバー企業の内、Yahoo, ニフティ, 楽天は対応していなさそうです。

        今日付けのFrom: *@nifty.ne.jpなメールには、DKIM-Signature:が付いてますよ。

        親コメント
        • by doda (31157) on 2011年05月11日 0時10分 (#1949951) 日記

          あ、付いてますか。

          Nifty からのメールが無かったので、@nifty に登録してその時に来たメールに付いていなかったので、それで判断していました。
          …ってこれは @nifty.com の話ですね。@nifty.ne.jp には付けているのに @nifty.com には付けていないのか。

          親コメント
      • by Anonymous Coward

        ニフティ...。以前、@Nifty デジタル館の通販で買い物したら、SMTPメールサーバーのIPアドレスがPRANOIDチェック(逆引きして正引きするとIPアドレスが違うものになる)でエラーになったことある。教えてあげないとと思ってメールしたけどなんかわけ解らない返事が来たんで、仕方ないのでホワイトリストで処理した。今調べてみたらまだ直ってないようだ。なぜ、そのまま放置してるのか、意味不明。
        DKIMがどうのこうののレベルではないんでは?

      • by Anonymous Coward

        自分の知っている範囲だと、Google(GMailとか) や Twitter が署名してきますね。両方とも DomainKeys を併用しています。

        Facebook, Microsoft, SourceForgeあたりからも署名付きメールが来ていますね。
        Amazon.co.jpは一時期付けていたみたいですが最近は付いていません。

        BIGLOBEは署名は付けないけど検証はしているようです。

        • by Anonymous Coward

          手元のだと、amazonは一時期つーか 09/10/15 の1通しかなくて、前日14日までと、1週間後の21日以降はついてないという。
          あと、yahoo.co.jpはついてないけどyahoo.comの方はついてた。

  • by Anonymous Coward on 2011年05月10日 17時27分 (#1949753)
    (T/O)
  • by Anonymous Coward on 2011年05月10日 19時00分 (#1949808)
    Debianで標準のEximを削除して、他のメールサーバーを入れて無いと・・・
    aptで別のパッケージを入れる際、勝手にeximを入れられることがあり困った思い出しかない。
    • by Daichi_K (3005) on 2011年05月11日 7時36分 (#1950011) 日記

      ubuntuも元がDebianなせいかexim4が勝手に入ってきますね。もっともデスクトップ利用だと直接ISPのメールサーバー叩くので
      CPUの無駄遣いになってますが。

      一時期exim4に挑戦してみたことがありますが結局postfixいじってたり。sendmailが肥大化してダメだこりゃー。ってな訳で
      色々MTAいじってみて結果postfixに落ち着いたなぁ。qmailはもう使わん。

      親コメント
typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...