Boletines de Vulnerabilidades |
Vulnerabilidad en el servidor de correo Sendmail 8.12.x |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Denegación de Servicio |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | GNU/Linux |
| Software afectado | Sendmail <= 8.12.x |
Descripción |
|
|
Una vulnerabilidad ha sido descubierta en el servidor de correo Sendmail versiones 8.12.8 y anteriores, que pueden permitir a un atacante remoto realizar una denegación de servicio en el servidor afectado. Este fallo reside en la manera en la que el servidor Sendmail maneja la respuestas DNS cuando los mapeos DNS están activados en dicho servidor. La vulnerabilidad permite a un atacante tirar el servidor de correo mediante respuestas específicas a las peticiones DNS que origina el servidor de correo. Teóricamente, también puede ser posible ejecutar código arbitrario en un sistema vulnerable explotando este agujero de seguridad. Nota: El servidor de correo Sendmail sólo es vulnerable si el archivo de configuración Sendmail (sendmail.cf) contiene la siguiente directiva: FEATURE('enhdnsbl'). |
|
Solución |
|
|
Actualización de software Sendmail Aplique el parche de Sendmail concerniente a esta vulnerabilidad http://www.sendmail.org/sm_resolve.c.p1 Actualice Sendmail con la versión 8.12.9: ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.9.tar.gz |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CAN-2003-0688 |
| BID | |
Recursos adicionales |
|
|
CERT/CC vulnerability note VU#993452 http://www.kb.cert.org/vuls/id/993452 Sendmail security advisory http://www.sendmail.org/dnsmap1.html OpenBSD security advisory 25-08-2003 http://www.openbsd.org/errata32.html Linux Mandrake security advisory MDKSA-2003:086 25-08-2003 http://www.mandrakesecure.net/en/advisories/advisory.php?name=3DMDKSA-2003:086 SGI security advisory 20030803-01-P 25-08-2003 http://www.sgi.com/support/security/advisories.html |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2003-09-08 |