Categories: SeguridadVirus

Importante actualización de seguridad de Sendmail

Sendmail es el MTA (Mail Transfer Agent) más veterano y popular en Internet, con una cuota de bastante más del 50% de los servidores de correo.

Las versiones de sendmail 8 anteriores a la 8.13.6, que acaba de publicarse, contienen un grave problema de seguridad que permite que un atacante remoto ejecute código arbitrario con los privilegios del servidor “sendmail”, típicamente administrador o “root”.

La vulnerabilidad radica en el uso inseguro de “setjmp()”/”longjmp()” y señales en determinadas secciones del código, que permitirían a un atacante remoto el ejecutar código arbitrario en el servidor. La vulnerabilidad es muy grave, y aunque no constan ataques activos en este momento, es de esperar que con la publicación de la actualización (y el consiguiente conocimiento público del problema y la solución) y la difusión que tiene “sendmail”, pronto existan herramientas automáticas de búsqueda de sistemas vulnerables.

Hispasec recomienda encarecidamente a los administradores de instalaciones Sendmail que actualicen con la mayor urgencia a la versión 8.13.6. De no ser posible, se han publicado también parches para las ramas 8.13 y 8.12 del producto.

Como siempre, recomendamos a nuestros lectores que verifiquen la integridad y autenticidad de los programas que descarguen, sobre todo si no se utiliza la fuente original. En caso de no ser posible, las huellas digitales (hashes) MD5 de los ficheros son:

51a1dc709664cb886785c340dc87faed sendmail.8.13.6.tar.Z

89788590cb07beaa7383a24249d3e1f2 sendmail.8.13.6.tar.Z.sig

484cca51f74b5e562b3cf119ceb2f900 sendmail.8.13.6.tar.gz

40f60410cf246d04c2a7265ee608e1e8 sendmail.8.13.6.tar.gz.sig

Asimismo, Hispasec recomienda utilizar las características de seguridad Sendmail incluidas en las versiones más recientes, especialmente la directiva “RunAsUser”. De esta forma se limita el impacto de esta vulnerabilidad y posibles defectos futuros.

La mayoría de los fabricantes (por ejemplo, Sun, Suse, IBM…) no han publicado aún actualizaciones para sus productos, pero es previsible que lo hagan en un plazo razonable. Contacten con sus fabricantes para más información.

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago