Linux操作系统中的邮件安全问题分析 （2）

以下是一些典型的sendmail攻击：

首先是MIME缓冲溢出漏洞。这种攻击不影响sendmail本身，而是sendmail发送邮件的客户。在这里，sendmail是工具而不是目标。计算机紧急反应小组是这样描述该攻击的：攻击者向一个脆弱的系统发送一个精心设计的邮件消息，在某种情况下，攻击者选择的代码会在该系统上执行。另外，攻击者可以是脆弱的邮件程序突然崩溃。根据邮件客户正在运行的操作系统以及有问题的邮件客户程序的用户权限，攻击都可以使整个系统崩溃。如果一个权限高的用户用一个容易受攻击的邮件用户代理来阅读邮件，那么攻击者就可以获得进入系统的管理权限。

再来看一下HELO缓冲溢出。在早于sendmail8.9的版本中，攻击者可以利用HELO命令传送非正常长度的字符串来伪装自己的发起的地址。如果一个攻击者发送HELO后面有至少1024字节的abc，那么消息头会如下所示：

　　
　　From attacker@attack.place.net Web Feb 5 22 31:51 1998 
　　
　　Received: from abcabcabcabcabcabcabcabcabc
    abcabcabcabcabcabcabcabcabcabcab→abcabcabcabcabcabc 
　　
　　Date: Wed, 5 Feb 1998 12:32:22 +0300 
　　
　　From attacker@attack.place.net

非正常字符串隐藏了应正常显示发信者IP地址的信息。这种攻击方法，尽管不具危险，但攻击者可以利用它让sendmail转发邮件垃圾和创建难以跟踪的邮件。

还有口令文件/Root访问，这是一个更可怕的攻击，它影响的是sendmail8.8.4。本地用户可以利用链接来获得root访问。这种攻击方法依赖于sendmail在/var/tmp/dead.letter后保存未投递的消息。

所有用户都可对/var/tmp进行写操作，因此本地攻击者可在/etc/passwd和/var/tmp/dead.letter间创建一个硬链接。然后向sendmail服务器发送一个不能投递的消息。在该消息体内，攻击者插入可被加到口令文件的一个用户帐号。

当消息标记为不可投递，就会加到/var/tmp/dead.letter里面，而在/var/tmp/dead.letter有一个与/etc/passwd的硬链接。这就导致产生一个拥有Root权限的新系统帐号。

Sendmail作为一个突出并且访问频繁的服务器，经常是攻击的目标。最近的一个攻击方法集中在sendmail报头解析代码上的一个漏洞。通过创建有大量TO：报头的消息，进攻者可使服务器停止运行。这种攻击方法对sendmail8.9.2和更早的版本有效，因此连最近安装的sendmail也受到影响。