/u/21578/crop5dbcb80db43bd.png?f=community)
Iedereen al z'n sendmail gepatched...A critical vulnerability in Sendmail, the Internet's most popular mail-server application, has security experts and software companies moving quickly on Monday to convince customers to apply a patch.
The flaw allows an attacker to send a specially formatted e-mail that could take control of a mail server running Sendmail and execute a malicious program. At present, no attack tool that could exploit the vulnerability is known to exist, said Greg Olson, chairman and co-founder of Sendmail, the company that has created a commercial version of the software.
"You have to understand that this is a very arcane security issue," he said. "It has been present in Sendmail code for 15 years and that code has been through multiple inspections."
The flaw--ironically in a Sendmail security function--occurs when the mail program parses an overlong header. The vulnerability was first found in December by security software firm Internet Security Systems. The company notified Sendmail and the National Infrastructure Protection Center, a joint computer crime and security task force, on Jan. 13.
"This vulnerability is especially dangerous because the exploit can be delivered within an e-mail message and the attacker doesn't need any specific knowledge of the target to launch a successful attack," stated an ISS advisory released Monday.
Because the vulnerability is contained in an e-mail message, it will bypass firewalls and many intrusion detection systems, said Dan Ingsvaldson, team leader for ISS's vulnerability research group. Moreover, mail servers--also called mail transport agents (MTAs)--that aren't vulnerable will still forward the flaw-exploiting e-mail message onto its destination.
"The only dependency is that the domain needs to accept e-mail," Ingevaldson said.
The flaw is unrelated to a November break-in at the Sendmail Consortium's Web site.
Several companies, including Red Hat, IBM, SGI, Sun and Hewlett-Packard, released patches Monday. The Sendmail Consortium, the group responsible for development of the open-source Sendmail code, released Sendmail 8.12.8, an updated program that fixes the flaw.
"The key here is to get the word out and get it fixed before hackers get an exploit," said Sendmail's Olson. "You need to contact a lot of people and make sure they understand this is important and apply the patch."
http://zdnet.com.com/2102-1104-990802.html
:strip_icc():strip_exif()/u/31199/goticon.jpg?f=community)
Verwijderd
Postfix is net zo min heilig, XTerm. Als sendmail bevalt en je installeert de updates, dan is er niks aan de hand. Apache is ook al zo vaak exploitable geweest, desondanks gebruiken mensen het... Sendmail is, buiten af en toe een exploit, een fantastisch product met goede professionele support.
Overigens gebruik ik ook postfix, maar ik wordt gek van die conversion jehova's...
.
Overigens gebruik ik ook postfix, maar ik wordt gek van die conversion jehova's...
.
1) Er is geen exploit voor, en als er een komt zal ie zelden werken. De bug zit 'm in de header parse functies, en da's niet echt simpel te exploiten.
2) Iedere degelijke admin draait sendmail als een non-root user
Claus overdrijft altijd een beetje
Verwijderd
Als je securityfocus nazoekt op Postfix (Van Wietse Venema) dan krijg je maar liefst deze melding::
Postfix is net zo min heilig, XTerm. Als sendmail bevalt en je installeert de updates, dan is er niks aan de hand. Apache is ook al zo vaak exploitable geweest, desondanks gebruiken mensen het... Sendmail is, buiten af en toe een exploit, een fantastisch product met goede professionele support.
Overigens gebruik ik ook postfix, maar ik wordt gek van die conversion jehova's...
2001-12-12: Postfix SMTP Log Denial Of Service Vulnerability
Bij QMail deze:
1999-06-01: QMail RCPT Denial of Service Vulnerability
En verder niet dus. Dus wat dat betreft zijn Postfix en QMail m.i. stukken heiliger dan Sendmail.
:strip_exif()/u/37496/crop5ae37faa2211a_cropped.gif?f=community)
vuistdiep in het post-pc tijdperk van Steve | Joepie joepie. Dat ging echt toppie! | https://www.wegmetbigtech.nl
Probleem met dat non-root: je ziet zelfs "professionele" serverbouwers (Plesk) setups bouwen met de ranzigste dingen die als root draaien. Voorbeeldje neem ik hierbij qmail, die in dit geval juist gevaarlijk wordt::
[...]
1) Er is geen exploit voor, en als er een komt zal ie zelden werken. De bug zit 'm in de header parse functies, en da's niet echt simpel te exploiten.
2) Iedere degelijke admin draait sendmail als een non-root user
Claus overdrijft altijd een beetje
standaard draai je qmail met tcpserver onder daemontools of vanuit je sysv/bsd init als non-root user (welke van de 4 of 5 qmail users dat is weet ik zo niet). Dit is op zich wel veilig: er is een bekende "bug" in qmail die ervoor zorgt dat je SMTP sessie alle geheugen opslurpt, daarom draait ie onder een softlimit/ulimit als normale user.
Wat doet Plesk? Juist ja: ze draaien qmail ZONDER LIMIT ALS ROOT VANUIT XINETD
Maw: de sysadmin maakt de beveiliging, niet de softwarebakker
* active2 moet niets hebben van sendmail omdat het zo rot is in te stellen voor de beginner, vandaar dat ik lekker flexibel qmail draai.
Hmm, verdraaide Matthijs ook altijd... browsers kapen, post _JGC_ ineens onder Matthijs z'n account
[ Voor 7% gewijzigd door active2 op 04-03-2003 14:31 ]
Google, Het mirakel van de 21e eeuw!!!!
:strip_icc():strip_exif()/u/63314/freebsd.jpg?f=community)
Verwijderd
code:
1
| 220 localhost ESMTP Sendmail 8.12.8/8.12.5; Tue, 4 Mar 2003 15:07:32 +0100 |
Dit krijg ik als ik een telnet doe naar localhost 25
Ik neem aan dat het me gelukt is
[ Voor 4% gewijzigd door Verwijderd op 04-03-2003 15:10 ]
:strip_icc():strip_exif()/u/11014/27337_1472854245_8919_q.jpg?f=community)
Juist, en dat is de reden dat sendmail vreselijk stinkt. de oorzaak doet er wat mij betreft niet toe
, het is gewoon smerig.Gelukkig hebben ze dat zelf ook door
Als je vind dat qmail een lelijk ontwerp heeft moet je jezelf eens achter je oren krabben, het is verweg de meest duidelijke mailserver die ik ken, en de configuratie is een factor 10 duidelijker als die van sendmail en postfix.
Maar dat is redelijk persoonlijk
* Kettrick houd het bij Qmail
Edit :
Wat boeit een license nou
, ik compile de code en het werk, dat mensen zich daar serieus druk om gaan maken .En datzelfde geld voor de auteur, DJB mag dan een beetje apart zijn, hij kan zeker goed coden, en ik heb niets met hem te maken
Beetje zinlose argumenten
[ Voor 20% gewijzigd door Kettrick op 04-03-2003 15:21 ]
Verwijderd
:
[...]
Juist, en dat is de reden dat sendmail vreselijk stinkt. de oorzaak doet er wat mij betreft niet toe
Gelukkig hebben ze dat zelf ook door
tja..de pot verwijt de ketel:Maar dat is redelijk persoonlijk
on topic:Beetje zinlose argumenten
su ; rm -rf / ; reboot ;Wat boeit een license nou
insert Microsoft CD.
Waarom draai jij in vredesnaam nog FREE (liberty!) software
Moet ik soms met alle argumenten rekening houden met ieder specifiek gebruikertje van de software? Er zullen altijd uitzonderingen zijn. Fijn dat het jou niets interesseert, maar dat is het voor een heleboel mensen wel. Anders krijg je dus ook dit soort taferelen:
http://archives.neohapsis...openbsd/2002-10/0488.html
(en anders hadden we nooit de mooie Packet Filter gehad bv..clash met Darren Reid).
Misschien dat jij het belang van de licentie niet kunt inzien, en ook niet even nadenkt dat dit juist voor andere mensen een hele goede reden zou kunnen zijn omdat het daarom NIET te draaien..tja.
Anyways, NOS is niet geschikt voor "flames".
Da's de schuld van Plesk, niet van qmail. Qmail vind ik lelijk om een aantal redenen ::
[...]
Probleem met dat non-root: je ziet zelfs "professionele" serverbouwers (Plesk) setups bouwen met de ranzigste dingen die als root draaien. Voorbeeldje neem ik hierbij qmail, die in dit geval juist gevaarlijk wordt:
standaard draai je qmail met tcpserver onder daemontools of vanuit je sysv/bsd init als non-root user (welke van de 4 of 5 qmail users dat is weet ik zo niet). Dit is op zich wel veilig: er is een bekende "bug" in qmail die ervoor zorgt dat je SMTP sessie alle geheugen opslurpt, daarom draait ie onder een softlimit/ulimit als normale user.
Wat doet Plesk? Juist ja: ze draaien qmail ZONDER LIMIT ALS ROOT VANUIT XINETD
1) De auteur is een zak
2) De license is shit
3) Al die losse daemons maken het aanpassen van simpele zaken een hel (een leuk voorbeeld was anti-relaying in de begintijd van qmail).
De enige reden om sendmail als root te draaien is ivm de authorisatie, maar de probleem hebben andere MTA's ook.Maw: de sysadmin maakt de beveiliging, niet de softwarebakker
De sysadmin maakt inderdaad iets echt veilig.
Pagina: 1
Dit topic is gesloten.