Detectada una nueva vulnerabilidad crítica en sendmail que permite a
un atacante conseguir acceso no autorizado con máximos privilegios. Se
recomienda a todos los afectados la actualización urgente a la nueva
versión 8.12.10 de sendmail o, en su defecto, la aplicación del
correspondiente parche.

Sendmail es el MTA (Mail Transfer Agent) más veterano y popular en
Internet, con una cuota de bastante más del 50% de los servidores de
correo.

El nuevo problema de seguridad ha sido identificado en la función
prescan(), del archivo parseaddr.c, que fue también origen de la
última vulnerabilidad grave reportada en marzo de este mismo año, y
afecta a la versiones de sendmail 8.12.9 y anteriores.

El consorcio Sendmail ha publicado una nueva versión de Sendmail,
8.12.10, que elimina esta vulnerabilidad y soluciona otros problemas
adicionales, por lo que recomienda su actualización de forma
inmediata.

La nueva versión puede ser descargada desde:

ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.10.tar.gz
ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.10.tar.gz.sig
ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.10.tar.Z
ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.10.tar.Z.sig

Recordamos la importancia de comprobar la validez de los archivos
descargados, antes de proceder a su instalación, a través de la
firma digital (detalles en http://www.sendmail.org/pgp.html).

MD5:

393f5d09d462f522c8288363870b2b42 sendmail.8.12.10.tar.gz
345042839dec70f0a0b5aaeafcf3a0e3 sendmail.8.12.10.tar.gz.sig
36b2b74577a96f79c242ff036321c2ff sendmail.8.12.10.tar.Z
1b9cd61e1342207148d950feafab0f07 sendmail.8.12.10.tar.Z.sig

También se encuentra disponible un parche específico para la
vulnerabilidad en http://www.sendmail.org/parse8.359.2.8.html

Bernardo Quintero
bernardo@hispasec.com

Más información:

Sendmail 8.12.10
http://www.sendmail.org/8.12.10.html

29/03/2003 Nueva vulnerabilidad en Sendmail
http://www.hispasec.com/unaaldia/1616

Compártelo: