Davi Carvalho (davi_carvalho@yahoo.com) avisa: Este link do vnunet.com trata, de forma resumida, de um problema de segurança no Sendmail. A vulnerabilidade está relacionada com a forma como é feito o parser do endereço, cujo tamanho não é verificado adequadamente. Segundo o CERT Advisory CA-2003-12 isto poderia causar um stack overflow. Detalhes, onde conseguir os patches etc, no link do CERT.
Como de hábito com os projetos de software livre, a correção saiu no mesmo dia da divulgação da falha. Diversas distribuições de Linux já lançaram pacotes atualizados, portanto corra para fazer seus upgrades.
O TaQ acrescenta: Deu na INFO: o Sendmail, servidor de e-mail usado em muitos sistemas Linux e Unix, tem uma vulnerabilidade que permite provocar, de forma remota, o travamento do sistema ou executar programas no servidor. O problema afeta todas as versões do produto anteriores à 8.12.9.
Postado por brain em 31 de março de 2003, 10:57 PM
Novidade...
Postado por: Marcus Grando em abril 1, 2003 12:40 AMNão é por nada não, mas o sendmail queima forte o filme do OS... deviam abandonar logo essa m*rda..
Quem não conhece Linux por exemplo e lê uma notícia dessas, depois sai falando umonte por aí.. É f*dah...
Ué, mas o sendmail já existia décadas antes do Linux surgir. E existem diversas alternativas a ele rodando no Linux. Qual a lógica de ele queimar o filme do OS? E quem que "deviam" abandonar ele logo?
Postado por: Augusto Campos em abril 1, 2003 12:18 PMTô com vc Augusto...
O Sendmail tem mais de 20 anos de desenvolvimento.
Pra quem não conhece, deveria conhecer melhor!
Como todo software gigante, existe muito trabalho em deixar seguro!
Agora, vc foi prejudicado com essa falha? Não! Eu tb não! Quem anunciou o erro foi a própria equipe do Sendmail junto com o Patch! Dando os devidos créditos pra cara que descobriu. Na comunidade em geral, existe uma grande simpatia do especialistas de segurança com o Sendmail e não vejo a um bom tempo as falhas serem postadas antes da disponibilização do Patch.
Até agora nem se teve detalhes de um exploit explorando essa falha! Ou seja, os Script Kiddies de plantão (a massa) ainda nem sabe o que isso siginifica pois ainda não criaram um scriptzinho de ataque automático como vemos por aí com a falha do OpenSSL por exemplo!
Ficamos tantos anos dependentes da M$ e ela com as suas falhas e a espera de horas e até dias pra que ela disponibilizasse o patch, pq agora criticar um sf...
Volto a dizer, o Sendmail tem muito potencial, desde que se tenha um bom administrador que realmente conheça ele, capaz de revirar todas as suas regras!!
Abraço!
Postado por: Bugado em abril 1, 2003 01:06 PMMas as distribuições linux poderiam "desincentivar" o sendmail não colocando mais pacotes dele nas distribuições. Quem quiser insistir no "erro", que pegue o .tar.gz e compile/instale na mão.
Postado por: Manoel Pinho em abril 1, 2003 06:47 PMBom...
O time do Sendmail junto com o pessoal de algumas distribuições fizeram alguns acertos...
Utilização do smrsh, que é o shell restrito do Sendmail...
Depois a RH (não sei se as outras distr. fizeram isso) por default o Sendmail só aceita Relay do localhost...
O Sendmail pegou fama de péssimo MTA pq a maioria das Distr. o instalava com Relay aberto...
E aí já viu... pra tirar uma má impressão de péssimo produto é complicado!
Postado por: Bugado em abril 1, 2003 08:25 PM
O Arquivo Histórico do BR-Linux.org mantém no ar (sem alteração, exceto quanto à formatação) notícias, artigos e outros textos publicados originalmente no site na segunda metade da década de 1990 e na primeira década do século XXI, que contam parte considerável a história do Linux e do Open Source no Brasil. Exceto quando indicado em contrário, a autoria dos textos é de Augusto Campos, e os termos de uso podem ser consultados na capa do BR-Linux.org. Considerando seu caráter histórico, é provável que boa parte dos links estejam quebrados, e que as informações deste texto estejam desatualizadas.