|
Descubierto
un grave fallo en Sendmail
El software que soporta el mayor volumen de correo
electrónico de Internet (entre el 50 y el 75%) presenta un
fallo de seguridad que compromete la seguridad de los sistemas.
La compañía de seguridad informática
Internet Security Systems (ISS), fundada en 1994 con sede central
en Atlanta (EE.UU.), ha descubierto un grave fallo de seguridad
en el software que se emplea por excelencia en los servidores de
correo electónico de todo el mundo.
Sendmail verifica que las direcciones de correo
que se indican en los e-mails (dentro de los apartados como To:,
CC:, etc.). Desafortunadamente se ha descubierto que uno de los
controles que se efectúan contiene un error, lo que permite
a un atacante enviar un e-mail con la cabecera trucada de tal manera
que se produzca un desbordamiento de buffer.
Dicho desbordamiento provocaría que el
atacante pudiera ejecutar código en la máquina vulnerable
con privilegios del usuario root (el administrador del sistema).
Debido a la gravedad del descubrimiento, que afecta a las versiones
de Sendmail desde la 5.79 a la 8.12.7, es muy importante que todos
aquellos administradores que dispongan en sus servidores de una
versión vulenrable actualicen inmediatamente sus sistemas.
No es la primera vez en la que este demonio (término
con el que se conocen los servicios en plataformas Unix/Linux) provoca
serios problemas de seguridad en los servidores en los que está
instalado, encontrándose de esta forma entre los programas
que más vulnerabilidades se le han descubierto.
El principal problema de Sendmail radica en que,
para su funcionamiento estándar, requiere que se ejecute
con privilegios de root, por lo que si algún atacante encuentra
una vulnerabilidad en el mismo, automáticamente dispone de
los mayores privilegios en el sistema. Existen alternativas a Sendmail,
como Qmail, que no requieren de funcionar con el nivel de administrador,
impidiendo que este tipo de fallos afecten de manera tan peligrosa
a todo el sistema. Se añade a la peligrosidad del fallo el
hecho de que no se requieren altos conocimientos técnicos
para llevarlos a cabo.
La detección de ataques de este tipo se
realiza de manera sencilla empleando algunos de los sistemas de
detección de intrusos (IDS) existentes. Los IDS no detienen
los ataques, pero avisan inmediatamente al administrador en caso
de detectar cualquier actividad sospechosa, adelantándose
incluso a que estas vulnerabilidades salgan a la luz.
Cabe destacar que esta vulnerabilidad no puede
ser evitada por un firewall que permita el acceso al puerto 25 (servidor
de correo SMTP), por lo que deja al firewall inútil para
detener estos ataques. No obstante, si un IDS detecta un ataque,
puede hacer que el firewall deniegue el acceso al atacante.
|
