Vulnerability Bulletins |
Vulnerabilidad en el servidor de correo Sendmail 8.12.x |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Denegación de Servicio |
Dificulty | Experto |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | GNU/Linux |
Affected software | Sendmail <= 8.12.x |
Description |
|
Una vulnerabilidad ha sido descubierta en el servidor de correo Sendmail versiones 8.12.8 y anteriores, que pueden permitir a un atacante remoto realizar una denegación de servicio en el servidor afectado. Este fallo reside en la manera en la que el servidor Sendmail maneja la respuestas DNS cuando los mapeos DNS están activados en dicho servidor. La vulnerabilidad permite a un atacante tirar el servidor de correo mediante respuestas específicas a las peticiones DNS que origina el servidor de correo. Teóricamente, también puede ser posible ejecutar código arbitrario en un sistema vulnerable explotando este agujero de seguridad. Nota: El servidor de correo Sendmail sólo es vulnerable si el archivo de configuración Sendmail (sendmail.cf) contiene la siguiente directiva: FEATURE('enhdnsbl'). |
|
Solution |
|
Actualización de software Sendmail Aplique el parche de Sendmail concerniente a esta vulnerabilidad http://www.sendmail.org/sm_resolve.c.p1 Actualice Sendmail con la versión 8.12.9: ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.9.tar.gz |
|
Standar resources |
|
Property | Value |
CVE | CAN-2003-0688 |
BID | |
Other resources |
|
CERT/CC vulnerability note VU#993452 http://www.kb.cert.org/vuls/id/993452 Sendmail security advisory http://www.sendmail.org/dnsmap1.html OpenBSD security advisory 25-08-2003 http://www.openbsd.org/errata32.html Linux Mandrake security advisory MDKSA-2003:086 25-08-2003 http://www.mandrakesecure.net/en/advisories/advisory.php?name=3DMDKSA-2003:086 SGI security advisory 20030803-01-P 25-08-2003 http://www.sgi.com/support/security/advisories.html |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2003-09-08 |