Nuevo agujero de seguridad en el protocolo Sendmail
Durante el pasado fin de semana, varios expertos y organismos como el centro CERT han advertido del riesgo existente en los servidores bajo Sendmail de recibir ataques por fallos de seguridad al utilizar direcciones de correo electrónico.
Se trata del segundo fallo de seguridad en Sendmail descubierto durante este mes, y ya ha hecho a distintos usuarios del software para servidores de correo plantearse la migración a otros sistemas.
Al parecer, Sendmail no comprueba adecuadamente la longitud de las direcciones de correo, y un mensaje enviado con una dirección de e-mail determinada, puede disparar una sobrecarga de datos y permitir que un intruso tome el control de un servidor Sendmail potencialmente vulnerable. Según el Centro de Coordinación CERT, los servidores Sendmail que no están conectados directamente a Internet están también en peligro de caer bajo este fallo, ya que la vulnerabilidad se debe al contenido de un mensaje malicioso que puede pasar de servidor a servidor.
Sendmail es hoy por hoy el protocolo MTA (mail transfer agent) más utilizado entre los administradores de sistemas, y maneja la gran mayoría del tráfico de correo electrónico en Internet. La propia compañía desarrolladora de Sendmail, así como el Consorcio Sendmail recomiendan a sus usuarios que actualicen sus sistemas a la versión 8.12.9, o bien que apliquen el parche de seguridad existente. Según el CERT, el problema afecta a las versiones de Sendmail Pro, a todas las versiones Sendmail de código abierto anteriores a la 8.12.9, y a varias versiones de Sendmail Switch y Sendmail para NT.
El anterior fallo de seguridad descubierto en Sendmail el pasado mes, era relativo a un error al comprobar las direcciones e-mail en la cabecera del mensaje, que también podía ser aprovechado por un intruso para acceder al servidor bajo Sendmail.
www.sendmail.com
