LINUX.ORG.RU
 

Критическая "дырка" в sendmail


0

0

ISS X-Force обнаружила ошибку переполнения буффера в sendmail. Эта ошибка позволяет злоумышленнику получить "root"/superuser привилегии в системе с неисправленным sendmail. Все версии с 5.79 до 8.12.7 включительно, на всех платформах, с открытым исходным кодом и коммерческие, подвержены данной проблеме.

Advisory от RedHat: https://rhn.redhat.com/errata/RHSA-20...

>>> Подробности


1 2 3 4 5 6
[#]  

Re: Критическая "дырка" в sendmail

А сторонники sendmail'а кричат о его защищенности ;-)

anonymous ()
[#]  

Re: Критическая "дырка" в sendmail

qmail фарева !!!!!!!!!!

anonymous ()
[#]  

Re: Критическая "дырка" в sendmail

Вот уроды... Плакать надо, а не пальцы гнуть... Амба... Доверие к линуксу будет падать после таких приколов...

* ()
[#]  
Mitrich

Re: Какие все умные!

О чем вы?
Плакать, пальцы гнуть, злорадствовать...
Тьфу!
Интересно, что ТАК повлияло на ваш менталитет, что временами стыдно бывает, посмотрев на такие реплики всяких "новообращенных служителей культа Линукса".

Все бывает и никто не застрахован.
Патчимся, в общем, а не фигней страдаем...

* ()
[#] Ответ на: Re: Критическая "дырка" в sendmail от Deimos 03.03.2003 22:32:16  

Re: Re: Критическая "дырка" в sendmail

Ну и причем здесь linux ? Ну-ка скажи-ка мне?

anonymous ()
[#]  

Re: Критическая "дырка" в sendmail

Админам предстоит жаркая ночка...
Ведь счас напишут червячка и получим нечто, что эпидемия сламмера нам детской забавой покажется.
Похоже самая лучшая защита, это использование наиболее редкого ПО на серверах. Хоть под общую гребёнку попадать будет нельзя.

anonymous ()
[#]  

Re: Критическая "дырка" в sendmail

говорила вам мама "sendmail suxx"... lol

anonymous ()
[#]  

Re: Критическая "дырка" в sendmail

Интересно, а сколько раз надо скомпрометировать sendmail, чтобы народ перестал в массовом порядке использовать эту сложную, монолитную и поэтому неизлечимо дырявую систему?
Есть же куча б/м безопасных альтернатив. В том же альтлинуксе уже тыщщу лет как отказались от сендмейла в пользу постфикс.

Нет, правда интересно.

А насчет компрометации даже не линукса, а всего юникса - это тоже правда. Будет очень трудно отмазаться в случае эпидемии.

***** ()
[#]  

Re: Критическая "дырка" в sendmail

da vse delo v tom chto tol'ko postavlennyj binary distributiv usaet imenno ego... prixoditza snosit' i stavit' postfix, xorosho u menja vezde postfix stoit :-)

* ()
[#]  

Re: Критическая "дырка" в жо*е

И че, на www.openbsd.org тоже будет теперь "Only two remote holes in the default install, in more than 7 years!" ;)


* ()
[#]  

Re: Критическая "дырка" в sendmail

А мне плевать на все утверждения "дырявости" sendmail'а, можно
подумать, что в других MTA дырок нет, я как использовал sendmail,
так и буду его использовать, просто альтернативы я ему не нашел
и еще долго наверное не найду, крики по поводу дырявости сендмайла
просто преувеличены многократно, все найденные придедущие дырки не особо сильно чего-либо позволяли, как в прочем и эта новая дырка,
довольно сомнительно ее использование, и наверняка требует
стандартного бинаря конкретного пакета, но у меня сендмаил
самостоятельно собран со своими специфичными патчами,
ну всеравно дырку эту мы залатаем, не буду же я переводить целую корпоративную почтовую систему под другие МТА, которые не
могут делать то, что мне нужно от сендмайла...




*** ()
[#]  

Re: Критическая "дырка" в sendmail

Дык нужен сендмейл - пользуй сендмейл!
А вот зачем втыкать его по дефолту?
Чем там себе РХ думает?

***** ()
[#]  

Re: Критическая "дырка" в sendmail

>Чем там себе РХ думает?

Они то тут причем? Там есть и postfix, если кому надо.....

*** ()
[#]  

Re: Критическая "дырка" в sendmail

по дефолту?

***** ()
[#]  

Re: Критическая

>по дефолту?

На выбор....

*** ()
[#]  

Re: Критическая "дырка" в sendmail

работающий из под обычного пользователя маленький qmail, гораздо защищенней того же монстра-sendmail

* ()
[#]  

Re: Критическая "дырка" в sendmail

>работающий из под обычного пользователя маленький qmail, гораздо
>защищенней того же монстра-sendmail

Sendmail тоже работает из под обычного пользователя, только
qmail сильно слаб в коленках по сравнению с возможностями
sendmail'а....

*** ()
[#] Ответ на: Re: Критическая "дырка" в жо*е от XCHG 04.03.2003 0:56:58  

Re: Re: Критическая "дырка" в жо*е

> И че, на www.openbsd.org тоже будет теперь "Only two remote holes in the default install, in more than 7 years!" ;)

Нет. Поставьте свежий 3.2 и посмотрите, какие порты открыты наружу.

* ()
[#]  

Re: Критическая "дырка" в sendmail

Ну разорались флеймеры.
Давно уже понять что существует общая безопасность системы.
Ну получит он переполнение буфера. Ну даже положит он свой файлик в /tmp и будет его вечно от туда запускать из под рута ). Да он даже письма пользователей потереть не сможет. Только если можно в эксплойте достаточно большой код запихать то сетку может просканировать еще какой фигней помаяться и не более того.

Все под контролем ....

anonymous ()
[#] Ответ на: Re: Критическая "дырка" в sendmail от Deimos 03.03.2003 22:32:16  

Re: Re: Критическая "дырка" в sendmail


> Доверие к линуксу будет падать после таких приколов...

А вот это глупость полнейшая! sendmail никогда не ассоциировался с линуксом.
Только с BSD и коммерческими юниксами! Авторы sendmail'a часто
повторяли, что и тестирование производится исключительно на *bsd и что линукс они официально не поддерживают. Если кто
помнит 1998-1999 гг. была проблемка у сендмыла на линуксе.
Они долго игнорировали и отказывались фиксить.

anonymous ()
[#] Ответ на: Re: Критическая "дырка" в sendmail от McMCC 04.03.2003 1:33:26  

Re: Re: Критическая "дырка" в sendmail


> Sendmail тоже работает из под обычного пользователя

...с очень недавних пор...

> qmail сильно слаб в коленках по сравнению с возможностями
sendmail'а....

Ну да, и buffer overflow у qmail'a нету, и local exploit'ов
нету, и remote exploit'ов тоже нету. Весь стоит на коленках и плачет ;(

anonymous ()
[#]  

Re: Критическая "дырка" в sendmail

Суньмэйл рулез! Скучно будет без этого гамна! Не выкидываем, продолжаем юзачить!

anonymous ()
[#]  

Re: Критическая "дырка" в sendmail

кошмар! сколько криков!!! качаем патч - 5мин. накладываем, компилим ставим - 5 мин. ну, допустим, перегружаем - 2 мин. итого 12 мин. идем пить кофе дальше...

anonymous ()
[#]  

Re: Критическая "дырка" в sendmail

сэндмэйл говно, набор глюков, никогда его не юзал и не буду, такое чувство что его M$ писали.... давить это глюкало... вобщем-то он издавна славился немерянным количеством дыр и щас продолжает...

* ()
[#] Ответ на: Re: Критическая "дырка" в sendmail от anonymous 04.03.2003 8:58:23  

Re: Re: Критическая "дырка" в sendmail

На моей машинке сендмыл собирается почти час :-P

Бинарные пакеты от вендоров - рулят.

***** ()
[#]  

Re: Критическая "дырка" в sendmail

>>допустим, перегружаем - 2 мин.

извините, но зачем????

Хотя не пользую я sendmail и никогда не пользовал.

кстати, просвятите плиз чего qmail то не умеет, а то я вот чего только не хотел от него, глядь в FAQ, а он енто штатно умеет...
Но кто знат, видать наши потребности далеки от крутых мира сего.

"наш Комсомол уверено преодалевает трудности, которые сам же себе создает" (с)

единственно мне известная проблема qmail это синхронный режим.. Что делает его малопригодным при соседстве на физическом сервере с нагруженой базой данных к примеру или файл сервером. Хотя на практике и это не проблема.


* ()
[#]  

Re: Критическая "дырка" в sendmail

знаю, что незачем перегружать машину:)) это так, для увеличения времени работы:)) а еще некоторые молодые админы перешедшие с винды иногда по привычке так делают... :))

anonymous ()
[#] Ответ на: Re: Re: Критическая "дырка" в sendmail от green 04.03.2003 9:48:02  

Re: Re: Re: Критическая "дырка" в sendmail

ну во Фре как-то не принято ставить бинарники :)) (хотя они и бинарники выложили, но где гарантия, что мои опции компиляции совпадают с ихними?) тем более что сервер должен быть мощным. но при условии совпадения архитектур и окружения, никто не мешает компилить на одной машине и перенести на другую...

anonymous ()
[#]  

Re: Критическая "дырка" в sendmail

Вот шуму подняли. Ну дырка, ну и что? Редхат между прочим уже патч предложил и я его уже успешно поставил. Тут важна скорость реакции на проблему. Сколько народ ждет сервиспаков от Майкрософта, и с какой скоростью он вообще реагирует на подобные проблемы? Самые быстрые патчи выходят для вечно дырявых аутлуков и ишака а системный софт просто игнорируется зачастую.

При этом как-то особо криков про взломанные системы сендмейлом не слышно, а вот гуляющие по сети черви и троянцы для аутлуков - это уже норма жизни. И почему-то никто не говорит как Майкрософт роняет себя в глазах пользователей.

* ()
[#]  

Re: Критическая "дырка" в sendmail

green, ну нельзя же так.... :-) 8 минут на сервере под нагрузкой, и sm пересобран... reload секунд 5 и все. :-)

***** ()
[#] Ответ на: Re: Критическая "дырка" в sendmail от AS 04.03.2003 10:17:44  

Re: Re: Критическая "дырка" в sendmail

Сервер серверу рознь ;) На моем Sparc Classic'е (Microsparc-50Mhz, 48M RAM), sendmail собирается за 40+ минут... (а собирать его приходится потому что RedHat перестало поддерживать Redhat6.2 для не x86, да и для x86 вот-вот перестанет).

***** ()
[#] Ответ на: Re: Re: Критическая "дырка" в sendmail от green 04.03.2003 10:22:02  

Re: Re: Re: Критическая "дырка" в sendmail

да... 50Mhz это и правда грустно... но я думаю, что эксплоиты появятся не меньше, чем через неделю. судя по сегодняшнему багтраку, инфа о дырке опубликована одновременно с появленинием новой версии SM и обновлений от всех основных поставщиков дистрибутивов. так что не менее дня у нас еще есть :)

anonymous ()
[#]  

Re: Критическая "дырка" в sendmail

>> Sendmail тоже работает из под обычного пользователя
>...с очень недавних пор...

С ветки 8.10 это недавно?

>>qmail сильно слаб в коленках по сравнению с возможностями
>>sendmail'а....
>Ну да, и buffer overflow у qmail'a нету, и local exploit'ов
>нету, и remote exploit'ов тоже нету. Весь стоит на коленках и плачет ;(

Qmail сильно ограничен, и если бы в нем были эксплоиты и дырки,
то я сильно бы удивился, не все так просто уважаемый, когда qmail
будет иметь такие же возможности как и sendmail, то с удовольствием
на него перейду, а так, это игрушечный MTA, не сильно распространен
поэтому ломать его нахрен никому не сдалось.....

*** ()
[#]  

Re: Критическая "дырка" в sendmail

А где эксплоит есть?
На securityfocus.org все тихо...

anonymous ()
[#] Ответ на: Re: Какие все умные! от Mitrich 03.03.2003 22:40:47  

Re: Re: Какие все умные!

Круто что postfix запускается в chroot, даже если и сломают, то ничего не сделается

anonymous ()
[#]  

Re: Критическая "дырка" в sendmail

И хоть одно ГУРУ напишет в чем оно с qmail не справилось и чем таким sendmail лучшее ?

anonymous ()
[#]  

Re: Критическая

2green:
Ну не надо ставить линуксы на стааренькие спарки, не надо. То, что они быстрее работают, чем та же солярка 2.6 - гнусный миф. Родился из попыток ставить CDE, автомаунта и хреновой кучи сервисов в дефолтовой инсталляции. Не быстрее. НЕ БЫСТРЕЕ. Просто нужно просидеть день с напильниками, интернетом, сановскими патчами и мануалами и сделать нормальную конфигурацию (с привлечением FSF софта).
И получаем привычное окружение на ядре солярки - которое ГОРАЗДО шустрее линуксового.

** ()
[#]  

Re: Критическая "дырка" в sendmail

>И хоть одно ГУРУ напишет в чем оно с qmail не справилось и чем таким
>sendmail лучшее ?

Писали хренову кучу раз на ЛОР, сделай поиск... Просто надоело каждый раз
доказывать, что qmail сосет....

*** ()
[#]  
Krause

Re: Критическая "дырка" в sendmail

анонимусу (2003-03-04 11:04:26.884)

"И хоть одно ГУРУ напишет в чем оно с qmail не справилось и чем таким sendmail лучшее ?"

Сто раз уж тут писали...
Без приделавыния кучи 3d party патчей qmail просто не функционален.
Так навскидку:
не может работать со вторым MX
не может работать с LDAP
не может работать с UUCP

Дальше лень писать...

* ()
[#]  

Re: Критическая "дырка" в sendmail

аргументы на ЛОР выглядели след образом: у юзера есть 30 доменов. Как доставлять почту этому юзеру по некоторому нелинейному закону типа: если во втором домене есть пользователь u15@d2, то почту надо ебануть по адресу u25@d10 при условии, что пользователь u3@d4 существует, а u13@d7 почту не берет. Были и другие смешные штуки вроде: как для пользователя с нормальным инет доступом изобразить отсутствие инета, но почту принимать для всех его 10 доменов по какому-то ебанутому закону так, что бы юзер не догадался, что инет у него есть. Нормально такие задачи решаются не SMTP, а вызовом психиатрической бригады для постановщика задачи

anonymous ()
[#]  

Re: Критическая "дырка" в sendmail

аргументы на ЛОР выглядели след образом: у юзера есть 30 доменов. Как доставлять почту этому юзеру по некоторому нелинейному закону типа: если во втором домене есть пользователь u15@d2, то почту надо ебануть по адресу u25@d10 при условии, что пользователь u3@d4 существует, а u13@d7 почту не берет. Были и другие смешные штуки вроде: как для пользователя с нормальным инет доступом изобразить отсутствие инета, но почту принимать для всех его 10 доменов по какому-то ебанутому закону так, что бы юзер не догадался, что инет у него есть. Нормально такие задачи решаются не SMTP, а вызовом психиатрической бригады для постановщика задачи

anonymous ()
[#]  

Re: Критическая "дырка" в sendmail

sendmail круче qmail, linux круче bsd, windows круче linux Exchange круче всех.

А вообще про qmail это вы зря. Нет НИЧЕГО такого, что нельзя было бы сделать с помощью qmail, а можнл с помощью sendmail. Потому, что от MTA ничего кроме T не требуется. И поиском по LOR не отмажетесь.

anonymous ()
[#]  

Re: Критическая "дырка" в sendmail

For those not running the open source version, check with your vendor for a patch. There is a bug fix for ident parsing in 8.12.8. While this is not believed to be exploitable, if you are not upgrading to 8.12.8, you may want to turn off ident checking by adding this to your .mc file:

define(`confTO_IDENT', `0s')

Бах и отключается дырочка :-)

anonymous ()
[#]  
Alter

Re: Критическая "дырка" в sendmail

anonymous (*) (2003-03-04 11:04:26.884) & anonymous (*) (2003-03-04 12:09:59.029)

>И хоть одно ГУРУ напишет в чем оно с qmail не справилось и чем таким sendmail лучшее ?

Поищите в архиве.. доны уже много высказывались по этому поводу..

** ()
[#] Ответ на: Re: Критическая "дырка" в sendmail от AS 04.03.2003 10:17:44  

Re: Re: Критическая "дырка" в sendmail

5 минут, включая скачивание 8.12.8, конфигурирование и компилирование, тоже на сервере под нагрузкой. Кто меньше?

anonymous ()
[#] Ответ на: Re: Критическая "дырка" в sendmail от McMCC 04.03.2003 11:31:48  

Re: Re: Критическая "дырка" в sendmail


> Просто надоело каждый раз доказывать, что qmail сосет....

А мне кажется тебе надоело самому отсасывать во флеймах sendmail vs qmail ;)

Насколько я помню, самый главный аргумент был - отсутствие
работающего uucp из коробки. На это сто раз было отвечено, что
0.0001% юзеров, которым в 21-ом веке все еще необходим uucp
несильно пострадают, наложив соответствующий патч...


anonymous ()
[#]  

Re: Критическая "дырка" в sendmail

McMCC, кумыло -- не единственное. Что тебе нужно от сендмейла, чего не может, например, ехим? (Запрошенные Krause фичи -- работают, кроме ЮЮЦП, которую я не проверял на живучесть. Но, по идее, и оно должно пахать, никуда не денется.)

* ()
[#]  

Re: Критическая "дырка" в sendmail

>>не может работать со вторым MX
работает

>>не может работать с LDAP
не пробовал...

>>не может работать с UUCP
ага... а еще гимн советкого союза проигрывать не умеет %))

поднимите руки кто это использует?? а если использует, то дайте внятное объяснение зачем?

>>сильно распространен поэтому ломать его нахрен никому не сдалось.....

вот тут я со стула чуть не упал...

yahoo!!!
RIPE!!!

ну а paypal понятное дело ваще никому не нужун %))



* ()
[#] Ответ на: Re: Критическая "дырка" в sendmail от McMCC 04.03.2003 0:57:08  

Re: Re: Критическая "дырка" в sendmail

Date: Mon, 03 Mar 2003 10:49:33 -0700 From: Todd C. Miller To: security-announce@openbsd.org Subject: remote buffer overflow in sendmail

[skipped] As shipped, OpenBSD runs a sendmail that binds only to localhost, making this a localhost-only hole in the default configuration. [skipped]

-- Andrushock

anonymous ()
1 2 3 4 5 6
Безопасность