Уязвимость в Sendmail до версии 8.13.5 (включительно)
Сообщается о наличии уязвимости в популярном MTA sendmail, о которой разработчикам сообщил Mark Dowd из ISS X-Force.
Уязвимость возникает с некоторыми временными условиями (timing conditions) при выполнении SMTP-cоединений уровня команд и доставки специфических email-данных. Как пишут сами разработчики, уязвимость довольно специфическая и требует для проведения атаки определенных условий. В настоящее время неизвестно о существовании публичного эксплоита. Использование уязвимости позволяет выполнить произвольный код в системе с привилегиями пользователя, от имени которого запущен sendmail (часть функций он выполняет от имени пользователя root).
В качестве временной меры рекомендуется обратить внимание на опцию RunAs в конфигурационном файле. Уязвимость присутствует в версиях до 8.13.5 (включительно). Разработчиками выпущена новая версия sendmail — 8.13.6, а также патчи. Необходимо отметить, что многие производители дистрибутивов Linux, а также FreeBSD выпустили обновления.
Подробности доступны на sendmail.com (Sendmail MTA Security Vulnerability).
Постоянная ссылка к новости: http://www.nixp.ru/news/7239.html. fly4life по материалам uinc.ru.
Canonical пропатчила ядра четырех Ubuntu — все обновления уже в репозиториях
Apache James 3.0 — крупное обновление почтового сервера с открытым кодом на Java
Уязвимостью SambaCry воспользовались для майнинга криптовалюты Monero на Linux-компьютерах
Mozilla Foundation останется юридическим домом для Thunderbird, но разработка станет независимой
Proofpoint продолжит развитие почтового агента Sendmail 1
Обнаружена критическая уязвимость в Postfix policyd
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1