• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2010:0237-05

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2010:0237-05

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
Sendmail - это широко распространенный почтовый агент Mail Transport Agent (MTA). MTA доставляют почту от одного компьютера другому. Sendmail - это не клиентская программа, но это больше, чем демон, которые перемещает почтовые сообщения по сетям или Интернету к месту доставки.
Обнаружено, что sendmail в Red Hat Enterprise Linux не отвергает сообщения с доменным именем "localhost.localdomain", которые приходят от внешних узлов. Данная уязвимость позволяет злоумышленникам, действующим удаленно, подменять сообщения. (CVE-2006-7176)
Ошибка обнаружена при обработке NULL-символов в поле CommonName сертификата X.509 в sendmail. Если злоумышленник сможет создать специальный сертификат, подписанный доверенным центром авторизации Certificate Authority), то он сможет заставить sendmail ошибочно принять и сможет реализовать атаку "человек посередине" или обойти аутентификацию с помощью сертификатов. (CVE-2009-4565)
Замечание: Уязвимости CVE-2009-4565 подвержены только конфигурации, использующие TLS с проверкой сертификата и CommonName, что не является типичной конфигурацией.
Данное обновление также исправляет следующие ошибки:
* sendmail не мог обрабатывать файлы с опцией ServiceSwitchFile, использующие двоеточие в качестве разделителя. (BZ#512871)
* sendmail некорректно возвращал код завершения 0, когда возникала ситуация недостатка свободного места.
(BZ#299951)
* страница sendmail manual page содержала пустое пространство между опцией -qG и параметром. (BZ#250552)
* комментарии в файле sendmail.mc содержали некорректный путь к сертификатам SSL. (BZ#244012)
* пакет sendmail не включал возможности MTA. (BZ#494408)
Всем пользователям sendmail рекомендуется обновить программное обеспечение, чтобы избавиться от указанной проблемы.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0237.html