int(851)

Boletines de Vulnerabilidades


Desbordamiento de búfer en el manejo de conjuntos de reglas en Sendmail

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado UNIX
Software afectado Sendmail <=8.12.9

Descripción

Se ha descubierto un desbordamiento de búfer en la versión 8.12.9 y anteriores de Sendmail.

La vulnerabilidad reside en el manejo de conjuntos de reglas y afecta solamente a configuraciones de sendmail que utilicen algún conjunto de reglas no estándares "recipient", "final" o "mailer-specific envelope recipients".

Solución

Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo.


Actualización de software

Sendmail
Sendmail 8.2.10
ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.10.tar.gz

Sun

Solaris 7
SPARC
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=107684&rev=11
x86
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=107685&rev=11

Solaris 8
SPARC
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=110615&rev=11
x86
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=110616&rev=11

HP
HP-UX B.11.00 - Sendmail 8.9.3 - Instalar PHNE_29773
HP-UX B.11.00 - Sendmail 8.11.1 - Instalar B.11.00.01.005
HP-UX B.11.04 - Sendmail 8.9.3 - Instalar PHNE_30224
HP-UX B.11.11 - Sendmail 8.9.3 - Instalar PHNE_29774
HP-UX B.11.11 - Sendmail 8.11.1 - Instalar B.11.11.01.006
HP-UX B.11.22 - Sendmail 8.11.1 - Instalar PHNE_29912
HP-UX B.11.23 (IA) - Sendmail 8.11.1 - Instalar PHNE_29913
HP-UX B.11.23 (PA) - Sendmail 8.11.1 - Instalar PHNE_31734
http://itrc.hp.com

Sun
Sun Linux
http://sunsolve.sun.com/patches/linux/security.html
Qube3
RaQ4
RaQ 550
RaQ XTR
http://sunsolve.sun.com/cobalt

Identificadores estándar

Propiedad Valor
CVE CAN-2003-0681
BID

Recursos adicionales

Sendmail 8.2.10
http://www.sendmail.org/8.12.10.html

Sun(sm) Alert Notification 57573
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F57573&zone_32=category%3Asecurity

HP SECURITY BULLETIN HPSBUX0309-281
http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0309-281

Sun(sm) Alert Notification 56922
http://sunsolve.sun.com/search/document.do?assetkey=1-26-56922-1

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2004-06-08
1.1 Aviso emitido por HP (HPSBUX0309-281) 2005-02-23
1.2 Aviso emitido por Sun (56922) 2005-04-14

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT