[FUGSPBR] AVISO(P/ QUEM USA SENDMAIL)
Anderson
andersonbento em brasmatic.com.br
Dom Ago 31 17:04:17 BRT 2003
FONTE: http://www.rnp.br/cais/alertas/2003/FreeBSD260803.html
FreeBSD-SA-03:11.sendmail
Vulnerabilidade remota no Sendmail
[FreeBSD, 26.08.2003]
O CAIS está repassando o alerta divulgado pelo Projeto FreeBSD, "FreeBSD-SA-03:11.sendmail Sendmail DNS MAP problem", a respeito de uma vulnerabilidade do tipo "buffer overflow" no Sendmail. Tal vulnerabilidade pode permitir a um atacante causar um ataque do tipo negação de serviço (DoS).
As versões do Sendmail afetadas possuem um erro no código que trata as respostas a requisições DNS MAP, permitindo a um atacante enviar pacotes especialmente construídos causando indisponibilidade do sistema. Apesar de não existir nenhum caso comprovado, esse problema pode permitir outras formas de ataque, tal como execução de código arbitrário.
Sistemas afetados:
Sistemas Unix e Linux executando a versão pública do Sendmail nas versões 8.12.0 a 8.12.8.
Correções disponíveis:
Recomenda-se fazer a atualização para a versão 8.12.9, disponível em:
http://www.sendmail.org/8.12.9.html
Alternativamente, pode-se aplicar a correção ("patch") respectiva. Tais correções podem ser obtidas acessando a seguinte URL:
http://www.sendmail.org/patchps.html
Caso você não tenha condições de fazer a atualização ou aplicar o patch "imediatamente", uma forma de reduzir o impacto da vulnerabilidade é desabilitar o suporte a DNS MAP no arquivo sendmail.cf.
Maiores informações:
http://www.sendmail.org
http://www.sendmail.org/8.12.9.html
http://www.sendmail.com/security
http://www.freebsd.org/cgi/query-pr.cgi?pr=bin/54367
Identificador CVE:
CAN-2003-0688 (http://cve.mitre.org)
O CAIS recomenda aos administradores manterem seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versoes e correcoes disponibilizadas pelos fabricantes
_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd