O Sendmail, o programa mais utilizado como mecanismo de transporte de maior parte do tráfego de correio electrónico da Internet entre várias redes informáticas, possui uma grave falha de segurança do tipo buffer overflow, que poderá permitir que potenciais atacantes tomem conta dos servidores de email - mediante o envio de mensagens com fins maliciosos -, prejudicando desta forma o fluxo de email e interceptando as mensagens.

Esta vulnerabilidade de segurança não afecta directamente os computadores
pessoais desktop, mas coloca em risco os emails e a informação enviada através da Internet, afirmou ontem a Internet Security Systems, fornecedora de serviços de
segurança. No aviso divulgado, esta empresa salienta que os servidores
vulneráveis com o Sendmail instalado não serão protegidos pelos dispositivos de segurança existentes, como firewalls e filtros de pacotes".

Segundo a mesma companhia, "esta vulnerabilidade é especialmente perigosa, porque o exploit pode ser transmitido dentro de uma mensagem de email e o atacante não necessita de quaisquer conhecimentos específicos do alvo para desencadear um ataque com êxito". As versões do Sendmail vulneráveis a este buffer overflow abrangem todas entre a 5.79 e a 8.12.7.

De acordo com o centro de segurança informática CERT, até ao momento ainda não existem registos que apontem para que esta falha tenha sido explorada por atacantes. Esta vulnerabilidade detectada no Sendmail torna também o software vulnerável a grandes quantidades de tráfego de dados, o que poderá permitir que um worm malicioso seja programado para se propagar e desacelerar o tráfego global da Web, tal como fez o SQL Slammer no final de Janeiro.

A Sendmail Corporation, produtora do programa, aconselha os administradores de sistemas a actualizarem para a versão 8.12.8, caso seja possível. Contudo, no site da empresa está também disponível um código de correcção. Muitas produtoras incluem servidores Sendmail vulneráveis como parte das suas distribuições de software, daí a necessidade de corrigir sistemas Unix e Linux, bem como servidores dedicados de email.

Notícias Relacionadas:
2002-04-19 - Novos produtos da Panda Software para empresas chegam em Maio