Açık, Michal Zalewski tarafından farkedildi. Özel oluşturulmuş bir adres taşıyan e-mail, sunucuya akacak bir aşırı akımın tetiğini çekebiliyor. Çünkü, adres bölümleme kodları, e-mail adreslerinin uzunluğunu tam olarak kontrol etmiyor. Sonuç olarak CERT tarafından haftasonunda yapılan açıklamaya göre; bu açık, denial of service saldırısına neden olabilecek türden bir açık ve bu tür bir saldırı sonrası, saldırgan uzaktan kumanda ile SendMail sunucunda kendi istediği kodları çalıştırabilir.
CERT yayınladığı tavsiye notunda; “Çoğu kuruluşta çeşitli lokasyonlarda farklı mail transfer sistemleri (MTA) vardır. Bunlardan en az birisi de internete açıktır. SendMail orta-büyük ölçekli firmalarda en çok kullanılan uygulama. Hele Unix ve Linux iş istasyonları olanlar mutlaka SendMail kullanıyor. Bu nedenle bu açık hemen hemen herkesi etkiliyor.” diyerek uyarıyor.
Daha 1 ay bile olmadı, 3 Mart tarihinde de SendMail başka bir açığa yönelik yama yayınlamıştı. En son yama kritik ama yayınlanan uyarı mesajı, çoğu network yöneticisini şaşırttı. Çünkü bu mesaj olayın önemini yeterince vurgulamıyordu.
Slashdot‘ta yayınlanan bir tartışmada bu konuda uyarılar yapıldı. Sonuç olarak SendMail, haftasonunu karmaşa içinde geçirdi, duyuruyu gerektiği gibi yapmadı ve çoğu sistemin savunmasız kalmasına neden oldu.
SendMail yayınladığı duyuruda “Bu bilgiyi bugün (29-Mart-2003) yayınladığımız için özür dileriz ama halka açık bir mail listesinde güvenlik açığı konusunda bir e-mail yayınlandığı için böyle davranmak zorunda kaldık” denildi.
Bu açık için gerekli yamaya bu satırı tıklayarak ulaşabilirsiniz.
Slashdot’ta yer alan bir ifadede “Sendmail: Açık kaynağın ISS’i” denilerek, Microsoft’un web servisleri yazılımına atıfta bulunuldu.
Kaynak : 