Xs4all waarschuwt voor lek in sendmail

XS4ALL

Waarschuwing: lek in sendmail

5 maart 2003

Het e-mail transport mechanisme Sendmail is kwetsbaar gebleken voor aanvallen van buitenaf. Sendmail kent een zogenaamd 'buffer overflow vulnerability', waardoor kwaadwillenden door middel van een gemanipuleerde e-mailheader root-acces tot systemen kunnen krijgen. Dit maakt e-mailservers kwetsbaar voor hackaanvallen en andere vormen van misbruik. Meer informatie vindt u op:

http://www.cert.org/advisories/CA-2003-07.html
https://gtoc.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21950 http://www.sendmail.org/

Sendmail is standaard geïnstalleerd in veel besturingssystemen. XS4ALL adviseert iedereen die gebruik maakt van systemen waarop Sendmail geïnstalleerd is Sendmail te de-activeren. Als u Sendmail nodig heeft of niet wilt de-activeren, dan raadt XS4ALL u dringend aan de beschikbare patches te installeren. Er zijn patchesbeschikbaar voor Sendmail versies 8.9, 8.10, 8.11 en 8.12. Ook eerdere versies van Sendmail zijn kwetsbaar. XS4ALL raadt gebruikers van eerdere versies aan om Sendmail te upgraden tot versie 8.12.8. De patches vindt uhier:

http://www.sendmail.org/patchcr.html

Apple Computer, Inc. heeft Security Update 2003-03-03 beschikbaar gesteld om dit probleem te verhelpen. Er zijn updates voor Mac OS X 10.1.5 en Mac OS X 10.2.4. Sendmail is niet standaard geactiveerd bij Mac OS X, dus alleen systemen waarbij Sendmail expliciet is geactiveerd zijn kwetsbaar voor de lek. Alle gebruikers van Mac OS X wordt echter met klem aangeraden de update op hun systeem toe te passen. De update vindt u hier:
http://docs.info.apple.com/article.html?artnum=120195

Debian updates voor Sendmail en Sendmail-wide zijn beschikbaar op: http://www.debian.org/security/2003/dsa-257

Updates voor MandrakeSoft zijn beschikbaar op:
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-20 03:028

Updates voor Red Hat Linux zijn beschikbaar op: http://rhn.redhat.com/errata/RHSA-2003-073.html

Updates voor FreeBSD zijn beschikbaar op:
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:04.sen dmail.asc

Een uitbereide lijst met systemen die kwetsbaar zijn, en verwijzingen naar patches vindt u onderaan deze pagina:
http://www.cert.org/advisories/CA-2003-07.html

donderdag 6 maart 2003