Scientific Linux 安全更新：SL5.x i386/x86_64 中的 sendmail

high Nessus 插件 ID 60774

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

已发现 Scientific Linux 中 sendmail 的配置不拒绝来自外部主机的电子邮件消息的“localhost.localdomain”域名。这可允许远程攻击者伪装欺骗的消息。(CVE-2006-7176)

在 sendmail 处理 X.509 证书的 CommonName 字段中的 NUL 字符的方式中发现一个缺陷。能够获得精心构建的由受信任的证书颁发机构签名的证书的攻击者可以诱骗 sendmail 错误地接受该证书，从而允许攻击者执行中间人攻击或绕过预期客户端证书认证。(CVE-2009-4565)

注意：CVE-2009-4565 问题只影响使用 TLS 和启用了证书验证以及 CommonName 检查的配置，此配置不属于典型配置。

此更新还修复以下缺陷：

- sendmail 无法解析 ServiceSwitchFile 选项指定的使用冒号作为分隔符的文件。(BZ#512871)

- sendmail 在可用空间低时不正确返回零退出代码。(BZ#299951)

- sendmail 手册页在
-qG 选项与参数之间有空格。(BZ#250552)

- sendmail.mc 文件中的注释指定了到 SSL 证书的错误路径。(BZ#244012)

- sendmail 程序包未提供 MTA 功能。(BZ#494408)