Biztonsági hiba a Sendmailben és az OpenSSH-ban

Az atlantai székhelyű Internet Security Systems amerikai vállalat egyik menedzsere, Dan Ingevaldson nagyon komoly sebezhetőségnek írta le a Sendmailben felfedezett biztonsági rést. Elmondása szerint a nyíltforrású szerverszoftver e-mail fejlécek elemzése rejti a sérülékenységet; az esetben egyébként a 8.12.10-es változatnál régebbi verziók érintettek. Ingevaldson emellett megemlítette az OpenSSH-ban nemrég felfedezett sérülékenységet, amely szintén gondokat okozhat.

Ez a hiba még a hitelesítés előtt jelentkezik, így olyan felhasználó is ki tudja aknázni a megfelelő ismeretek birtokában a sebezhetőséget, aki egyébként nem rendelkezik jogokkal az adott számítógépre való bejelentkezéshez. Ezt Jason Rafail, a CERT Koordinációs Központjának egyik IT-biztonsággal foglalkozó elemzője közölte. A CERT mindkét hiba elhárítására kiadott egy útmutatót.

Az OpenSSH-val kapcsolatban felmerült sérülékenység a 3.7.1-es változatoknál régebbi verziókat érinti. Ez egyébként abból származik, hogy a szoftver nem megfelelően tárolja az adatokat a pufferben. Mind a Cisco eszközei, mind a Red Hat, a Sun Microsystems és az IBM AIX Toolbox for Linuxa is érintett lehet ebben a hibában.