Критическая "дырка" в sendmail

0

0

ISS X-Force обнаружила ошибку переполнения буффера в sendmail. Эта ошибка позволяет злоумышленнику получить "root"/superuser привилегии в системе с неисправленным sendmail. Все версии с 5.79 до 8.12.7 включительно, на всех платформах, с открытым исходным кодом и коммерческие, подвержены данной проблеме.

Advisory от RedHat: https://rhn.redhat.com/errata/RHSA-20...

>>> Подробности

←	Вышел Альтлинукс Мастер 2.2

Linux получает стандартные тесты для серверов

→

ПОСАДИ КОМПЬЮТЕР НА ЦЕПЬ И ЗАСТАВЬ ЛАЯТЬ!

домашняя автоматизация: сделай сам; лучший подарок для техногика

http://www.unicontrollers.com/products/unc01x

← 1 2 3 4 5 6 →

[#] Ответ на: Re: Re: Критическая "дырка" в sendmail от anonymous 10.03.2003 1:18:57

Re: Re: Re: Критическая "дырка" в sendmail

Саныч, какое слово тебе непонятно из этой фразы? Там приводятся
оси из отчетов об установке qmail, которые люди добровольно
присылали. Это просто некоторая выборка из success reports,
ни в коем случае не претендующая на полноту.

Не люди, а скрипт установки IMHO

anonymous (10.03.2003 11:32:07)

[#] Ответ на: Re: Re: Re: Критическая "дырка" в sendmail от anonymous 10.03.2003 11:32:07

Re: Re: Re: Re: Критическая "дырка" в sendmail

Нет, не скрипт установки. В файле INSTALL было лишь
предложение рапортовать об успешной установке и там был пример,
как это сделать.

anonymous (10.03.2003 20:50:04)

[#]

Re: Критическая "дырка" в sendmail

2walrus

>Вы ссылаетесь на документ 98 года. Интересно, какие версии вы там ожидали увидеть? Там и линукс с ядром 2.0 - 2.1. Однако все работает. (И на солярках тоже)

А что, сайт www.qmail.org с 98 года не обновляется ?

Или success reports перестали слать ?

Под OpenBSD 3.2 (i386 или sparc64) qmail наверно уже никогда не будет.

Саныч

anonymous (11.03.2003 14:31:24)

[#] Ответ на: Re: Критическая "дырка" в sendmail от anonymous 04.03.2003 18:43:23

Re: Re: Критическая "дырка" в sendmail

Вот! Наконецто кто-то зравомыслющий, не поймет человек чем сындмыл лучше\хуже остальных пока не попробует то, другое и третье при реальной нагрузке.

omline

(11.03.2003 15:14:17)

[#]

Re: Критическая "дырка" в sendmail

пидарасы все!!!!!!!!!!!!!!

anonymous (11.03.2003 19:44:11)

[#] Ответ на: Re: Критическая "дырка" в sendmail от anonymous 11.03.2003 14:31:24

про qmail

<цитата> А что, сайт www.qmail.org с 98 года не обновляется ? Или success reports перестали слать ? </цитата>

А я то откуда знаю, когда он обновляется? Это вы ссылку такую привели. Вы не обижайтесь, Саныч, но ощущение такое, что вы уже просто к словам цепляетесь. Не по существу спор.

walrus

(11.03.2003 20:45:33)

[#]

Re: Критическая "дырка" в sendmail

2walrus

>А я то откуда знаю, когда он обновляется? Это вы ссылку такую привели. Вы не обижайтесь, Саныч, но ощущение такое, что вы уже просто к словам цепляетесь. Не по существу спор.

Да, пожалуй Вы правы.

Похоже тема себя исчерпала.

Каждый остался при своей религии.

С уважением, Саныч.

anonymous (12.03.2003 10:50:51)

[#] Ответ на: Re: Критическая "дырка" в sendmail от AVL2 04.03.2003 0:14:27

Re: Re: Критическая "дырка" в sendmail

Эти ваши юнихи были скомпрометированы давном давны, когда ещё никаких виндузов не было. Товарисч Моррисон постарался. Ибо не фиг на Си системное ПО писать!

~~Antichrist~~

(14.03.2003 2:29:18)

[#]

Re: Критическая "дырка" в sendmail

ДА!! Надо писать на VB !!!

anonymous (14.03.2003 8:34:19)

[#]

Re: Критическая "дырка" в sendmail

2Antichrist

>Товарисч Моррисон постарался.

Дык этож 1988 год был.

Сами небось в памперсах в то время ходили ?

Саныч :)

anonymous (14.03.2003 12:17:03)

[#] Ответ на: Re: Критическая "дырка" в sendmail от anonymous 14.03.2003 12:17:03

Re: Re: Критическая "дырка" в sendmail

Как раз в этом году ему на голову упал кирпич.

anonymous (14.03.2003 15:23:37)

[#]

Критическая "дырка" в sendmail

Ну вы как всегда. Даже Антихриста принесло. И правда: системное ПО надо писать на языке sendmail'овских рулесетов. (Шутка.)

Скучно...

netch

(14.03.2003 17:59:01)

[#]

Re: Критическая "дырка" в sendmail

Ну я хоть и сам кумыло люблюи уважаю:), но и хотмыло (который на оном стоит) тож ломали:) Дырки были, есть и будут. а наше дело их закрывать.:). Кому не охота - вперед и с песней пишить свой почтовик.

anonymous (14.03.2003 21:40:08)

[#]

Re: Критическая "дырка" в sendmail

http://www-dt.e-technik.uni-dortmund.de/~ma/qmail-bugs.html

Вот вам и security mta, уж не знаю как на это реагировать, хотя сам являюсь поклонником Qmail, кто-нить может прокомментировать сие?

anonymous (17.03.2003 12:23:03)

[#]

Re: Критическая "дырка" в sendmail

Да блин, а когда последний релиз кумыла вышел ?

В году так 98 поди ?

Тогда softupdates ИМХО и не пахло.

Но то что сейчас он требует синхронной фс - это уже абсурд.

Саныч

anonymous (17.03.2003 13:42:47)

[#]

Re: Критическая "дырка" в sendmail

Интересно, что автор Qmail об этом думает?
Кому-нить удалось пообщаться с ним на эту тему?

anonymous (17.03.2003 14:58:09)

[#]

Re: Критическая "дырка" в sendmail

Так ведь ему говорили, и вот что он ответил:

"Answer: qmail's queue, except for bounce message contents, is crashproof on the BSD FFS and most of its variants.

Do not use async or softupdates filesystems. If you do, and if your system crashes at the wrong moment, you will lose mail. Under Linux, make sure that all mail-handling filesystems are mounted sync."

Великий Djb сказал "do not use async or softupdates filesystems"

и пошли все НА КУМАЙЛ :)

Саныч

anonymous (17.03.2003 15:21:18)

[#]

Re: Критическая "дырка" в sendmail

Ладно, подождем, посмотрим - а там видно будет;)

Честно сказать, смотрю в сторону PostFix, еще годит на Qmail посижу... может чего изменится?;)

anonymous (18.03.2003 9:47:17)

[#] Ответ на: Re: Критическая "дырка" в sendmail от anonymous 17.03.2003 12:23:03

Re: Re: Критическая "дырка" в sendmail

> Вот вам и security mta, уж не знаю как на это реагировать

Реагировать надо просто: читать маны и доки, а не разных профанов, не знающих юникс.

> 1.1. qmail-smtpd memory exhaustion attacks

Ну вот кто эту х...ню мог написать? Только полный профан.
Ман ему ulimit в зубы.

> 1.2. qmail-smtpd bounce flood

Спорный момент. Затрагивает как спаммеров, так и законных
юзеров. Должны ли последние страдать из-за спаммеров?
Я бы отнес этот момент к недостаткам smtp как протокола.

> 1.3 errno abuse

Это вообще из пальца высосанная проблема.

> 4.6. Parallel delivery of qmail-remote sets back

Ну там в конце ясно написано, что человек сам не понял, о чем
он говорит ;)

> 2.1. Bounce message contents are not crash-proof

Да, вселенская проблема. Bounce messages относятся к
разряду служебных, уведомительных. Они дублируют уже
написанное письмо. Проблема не существенна. К тому же ни один
другой мэйлер нисколько не лучше поступает. Они что,
несуществующий идеал ищут?

> it does not bounce or convert an 8BITMIME mail that is sent to a 7bit destination.

И правильно делает. Нефиг анахронизмы поддерживать. Времена
arpanet'a давно кончились ;)

> qmail would never try any other MX than the first it connects to

Тоже тупая проблема. В стиле "а если ядерная война".

> invents its own specific bounce format, the "qmail-send bounce message format (QSBMF)"

А если б он еще прочитал, почему был создан QSBMF, то одним
глупым вопросом было бы меньше.

> (Postfix, for example, can safely be used with its /var/spool/postfix on a softupdated FFS.)

Опять. Человек пишет то, о чем не имеет представление.
Недавно совсем пробегала новость про обнаруженные проблемы с
целостностью данных на fs с softupdates при отключении питания... Postfix легко похоронит почтовую очередь в такой
ситуации.

Ну и остальное в том же духе. Противно комментировать профана.

anonymous (22.03.2003 10:05:08)

[#]

Re: Критическая "дырка" в sendmail

> (Postfix, for example, can safely be used with its /var/spool/postfix on a softupdated FFS.)

>Опять. Человек пишет то, о чем не имеет представление. >Недавно совсем пробегала новость про обнаруженные проблемы с >целостностью данных на fs с softupdates при отключении питания... Postfix легко >похоронит почтовую очередь в такой >ситуации.

>Ну и остальное в том же духе. Противно комментировать профана.

Кумыл использует синхронный link (2), а postfix - fsync и хорошо работает

с softupdates, чего кумыл не умеет.

Саныч

~~Sun-ch~~

(22.03.2003 12:35:17)

[#] Ответ на: Re: Критическая "дырка" в sendmail от Sun-ch 22.03.2003 12:35:17

Re: Re: Критическая "дырка" в sendmail

> Кумыл использует синхронный link (2), а postfix - fsync и хорошо работает

Хм, речь идет о другом - теряет или не теряет почтовую очередь
в экстренных ситуациях. qmail работает медленнее, но не теряет
очередь ни при каких условиях.

anonymous (23.03.2003 3:40:12)

[#]

Re: AutoZen: звуком по мозгам

>qmail работает медленнее, но не теряет очередь ни при каких условиях.

Да, это справедливо при mount -o sync.

Но при работе антивир. на серверах с большим трафиком

можно быстро почувствовать разницу.

Саныч

~~Sun-ch~~

(24.03.2003 11:21:35)

[#] Ответ на: Re: AutoZen: звуком по мозгам от Sun-ch 24.03.2003 11:21:35

Re: Re: AutoZen: звуком по мозгам

> Да, это справедливо при mount -o sync.

А без этой опции qmail работает так же быстро или даже быстрее,
чем postfix.

anonymous (26.03.2003 23:05:02)

[#]

Re: Критическая "дырка" в sendmail

Вот это флейм ! И все из-за одной дырки Ошибки у всех бывают и нет гарантии, что в qmail или в чем-либо еще нет дыр. Просто их может не нашли... Радует что sendmail быстро реагирует на все это. patch короткий, наложить легко (причем все подрробно описано как )

Разработчикам можно пожелать успехов и поменьше дыр

anonymous (01.04.2003 17:09:15)

[#]

Re: Критическая "дырка" в sendmail

2anonymous (*) (2003-04-01 17:09:15.125477)
Сопли подотри и не лезь с тупыми репликами куда не следует.

anonymous (02.04.2003 21:02:25)

← 1 2 3 4 5 6 →

←	Вышел Альтлинукс Мастер 2.2

Безопасность

Linux получает стандартные тесты для серверов

→