Пакет, которым ныне пользуются около
половины почтовых серверов во всем мире,
имеет серьезные уязвимости. Предупреждение
об этом опубликовано на официальном сайте CERT.
Примечательно, что сама уязвимость была
обнаружена еще 3 марта года, о чем сообщил
тогда сайт Internet
Security Systems. Обнаружили эту проблему
сотрудники министерства внутренней
безопасности США. На днях информацию в
официальном сообщении подтвердили в CERT, -
уязвимости подвержены все версии ниже 8.12.8.
На днях была обнаружена еще одна ошибка,
которая возникает при использовании DNS map.
Данная функция впервые была внедрена в Sendmail
версии 8.12, так что предыдущие версии
описанной бреши не содержат.
Для проведения атаки DNS сервер должен
отправить особым образом составленный
ответ поражаемой системе. Это приводит в
упадок сервис, и атакующий может
воспользоваться сложившейся ситуацией для
запуска на выполнение программного кода.
Несмотря на то, что консорциум Sendmail не
опубликовал никакой информации о том, что
данная брешь может использоваться для
выполнения программного кода,
рекомендуется немедленно обновить свои
системы.
Как известно, в пакете Sendmail на протяжении
долгого времени обнаруживались дыры в
безопасности, и хорошо документированное
описание большинства из них выложено на
различных сайтах.
Решением проблемы могут стать
альтернативные, более простые и легкие в
использовании почтовые агенты (mail transfer agents,
MTA).
