Esta vulnerabilidad permite que los sistemas donde se encuentre instalado este software sean puentes perfectos para los ataques de abusos del correo, como son el spam y el mail bombing. El spam es un término que se aplica a la acción de enviar mensajes a una gran cantidad de destinatarios de forma indiscriminada. El mail bombing consiste en el envío de un número excesivo de mensajes a una dirección de correo, con el objetivo de provocar una denegación de servicio por sobrepasar los límites del sistema.
NTMail, como suele ser normal en los servidores de correo, permite configuraciones para evitar el uso ilegal de sus servicios por personas externas no autorizadas. Entre las medidas se contempla el impedir mandar correo desde direcciones externas al propio dominio. Sin embargo, utilizando una determinada cadena vacía como dirección remitente se puede burlar esta restricción.
NTMail cuenta con una herramienta anti-spam que se instala adicionalmente para dotar de mayor seguridad al sistema. JUCE ha sido desarrollada por los mismos creadores del servidor de correo, y permite fijar, entre otras opciones, un número máximo de mensajes para evitar ciertos abusos. Una vez que detecta una irregularidad, además de paralizar la ejecución del servicio, notifica del hecho al administrador del servidor de correo.
Sin embargo, cuando se utiliza la cadena vacía, vuelve a fallar el sistema al no realizar ningún tipo de notificación. Todo parece indicar que NTMail maneja de manera especial la entrada de cadena vacía, lo que su uso puede acarrear más vulnerabilidades en este software. La única solución pasa, de momento, por actualizarse a la versión 4 de NTMail.
Más información:
NTMail: http://www.ntmail.co.uk
Bugtraq: http://www.geek-girl.com/bugtraq/1999_2/0666.html
