Пакет, которым ныне пользуются около половины почтовых серверов во всем мире, имеет серьезные уязвимости. Предупреждение об этом опубликовано на официальном сайте CERT.
Примечательно, что сама уязвимость была обнаружена еще 3 марта года, о чем сообщил тогда сайт Internet Security Systems. Обнаружили эту проблему сотрудники министерства внутренней безопасности США. На днях информацию в официальном сообщении подтвердили в CERT, - уязвимости подвержены все версии ниже 8.12.8.
На днях была обнаружена еще одна ошибка, которая возникает при использовании DNS map. Данная функция впервые была внедрена в Sendmail версии 8.12, так что предыдущие версии описанной бреши не содержат.
Для проведения атаки DNS сервер должен отправить особым образом составленный ответ поражаемой системе. Это приводит в упадок сервис, и атакующий может воспользоваться сложившейся ситуацией для запуска на выполнение программного кода. Несмотря на то, что консорциум Sendmail не опубликовал никакой информации о том, что данная брешь может использоваться для выполнения программного кода, рекомендуется немедленно обновить свои системы.
Как известно, в пакете Sendmail на протяжении долгого времени обнаруживались дыры в безопасности, и хорошо документированное описание большинства из них выложено на различных сайтах.
Решением проблемы могут стать альтернативные, более простые и легкие в использовании почтовые агенты (mail transfer agents, MTA).