LINUX.ORG.RU

Вышел sendmail 8.13.6: устранена серьезная уязвимость


0

0

Вышла версия 8.13.6 самого популярного почтового сервера. В новой версии исправлена серьезная ошибка (CVE-2006-0058), позволяющая удаленному пользователю выполнять на целевой системе произвольные команды с правами пользователя, запустившего sendmail (часто это root). Уязвимы все предыдущие версии, разработчики рекомендуют всем срочно обновиться.

>>> Сайт проекта

★★

Проверено: Tima_ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

Как он меня заипал! Блиииин

Korwin ★★★ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

>самого популярного почтового сервера.

Вопрос. Почему самый популярный? Чем он лучше того же postfix или qmail? Какие есть реальные плюсы в использовании.

pacman ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

>самого популярного почтового сервера

Надо же, он ещё жив? Кто-то им пользуется?

KRoN73 ★★★★★ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

>>самого популярного почтового сервера.

>Вопрос. Почему самый популярный? Чем он лучше того же postfix или qmail? Какие есть реальные плюсы в использовании.

Плюс один - это единственный почтовик, который (в коммерческой версии) может обрабатывать миллион писем в час. По крайней мере о таких результатах публично никто не сообщал ни для postfix, ни для qmail, ни для communigate pro и т.п.

>pacman (*) (23.03.2006 10:27:14)

rtc ★★ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

Патрик еще вчера пропатчил.
Следите за чэйнджлогом Слаки и будете в курсах всех дыроапдейтов. :)

papazol ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

мдяяяяяяяяяя...пошел обновлять.

mrdeath ★★★★★ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

>По крайней мере о таких результатах публично никто не сообщал ни для postfix, ни для qmail, ни для communigate pro и т.п.

Сам-то я уже года три, как с него на postfix перелез, но что касается большой нагрузки, на сколько я помню, по обзорам, qmail рвёт sendmail.

KRoN73 ★★★★★ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

хе-хе, как же хорошо когда yum по расписанию пущается

hooj ★★ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

>Сам-то я уже года три, как с него на postfix перелез, но что касается >большой нагрузки, на сколько я помню, по обзорам, qmail рвёт >sendmail.

если честно то более тупой продукт чем qmail найти трудно. если у тебя 20 почтовых аккаунтов на одном сервере то всё отлично, если что то серъезное то это конец :)

anonymous ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

ну не знаю. что что, а вот vpopmail для него очень даже и не плох. в qmail'е парят только "патчи для патчей" и плюс миллионы конфигов однострочных.

mrdeath ★★★★★ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

Ох, remote root... А обновлять надо систему с RH7.2. Жопа!

Прикручиваю апдейт с RHEL2.1

annoynimous ★★★★★ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

>Ох, remote root... А обновлять надо систему с RH7.2. Жопа! >Прикручиваю апдейт с RHEL2.1

обнови до RH7.3 и узнай про http://www.fedoralegacy.org/

vtVitus ★★★★★ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

мда...
дуракам постфикс не писан.

anonymous ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

>Да - qmail должен рвать - но никто официально не обьявлял - потому что нах никому не нужно измерять яйца!

Да... Должен-должен... А на практике yahoo добавляет новый сервер, когда не хватает производительности этого чуда. qmail с ограниченной функциональностью медленнее sendmail pro с гигантским набором возможностей, и это просто факт, доказанный много лет назад. Фанатики qmail и других почтовых агентов не преминули бы воспользоваться цифрами, но банально не могут.

>rusxakep (*) (23.03.2006 11:24:11)

rtc ★★ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

> если у тебя 20 почтовых аккаунтов на одном сервере то всё отлично

А если 2000, то что? Раскройте тему сэр, плиз... Ну очень интересно.

anonymous ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

> Фанатики qmail и других почтовых агентов не преминули бы воспользоваться цифрами, но банально не могут.

Вот им делать больше нечего, кроме как спорить о производительности. Какой толк от производительности, если раз в месяц нужно останавливать почту и обновлять почтовую систему на всех серверах, а потом тестировать несколько дней, чтобы убедиться, что все работает как надо? Люди с мозгами ставят qmail на все принимающие сервера, а если потом нужны доп возможности рутинга, то после них ставят несколько серверов с exim или postfix. qmail-у не требовалось никаких критических обновлений с 2001 года. Проще добавлять раз в полгода новый сервак, чем держать безмозглого админа, который будет заниматься постоянными обновлениями дырявого sendmail.

Bogerm ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

> А на практике yahoo добавляет новый сервер, когда не хватает производительности этого чуда.

И это считается недостатком? Или я не так понял? Вообще-то это признак
хорошей расширяемости... А ты как считаешь, кругом идиоты и недоумки,
а ты один - Дартаньян?

anonymous ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

> А если 2000, то что? Раскройте тему сэр, плиз... Ну очень интересно.

А ничего, все прекрасно работает, если настраивать нормально. У qmail есть только один недостаток - он написан не под GPL, поэтому его никто не развивает и не ставит по умолчанию в дистрибутивы. Если админы хотят избавиться от головной боли, то они просто ставят qmail в качестве релеев, а локальную доставку поручают MTA с более расширенными возможностями. У знакомого провайдера через связку qmail+Exim на нескольких серверах debian примерно 50 миллионов пользователей и 200 гиг трафика в сутки. Про sendmail там даже никто не заикается...

Bogerm ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

>> Фанатики qmail и других почтовых агентов не преминули бы воспользоваться цифрами, но банально не могут.

>Вот им делать больше нечего, кроме как спорить о производительности. Какой толк от производительности, если раз в месяц нужно останавливать почту и обновлять почтовую систему на всех серверах, а потом тестировать несколько дней, чтобы убедиться, что все работает как надо? Люди с мозгами ставят qmail на все принимающие сервера, а если потом нужны доп возможности рутинга, то после них ставят несколько серверов с exim или postfix. qmail-у не требовалось никаких критических обновлений с 2001 года. Проще добавлять раз в полгода новый сервак, чем держать безмозглого админа, который будет заниматься постоянными обновлениями дырявого sendmail.

Предыдущее обновление sendmail, связанное с безопасностью, было в 8.12.10, т.е. полтора года назад.

qmail не требует обновлений только в установке по умолчанию, а уж в тоннах патчей, писанных нерадивыми администраторами, ошибок столько, что все остальные почтовые агенты просто идеальными покажутся.

qmail действительно можно использовать только там, где простые правила пересылки почты и мало пользователей, ибо в противном случае начинаются пляски с бубнами, прикручивание совершенно других серверов и т.п.

qmail - это как gentoo, когда нечего делать, то можно ставить, добавлять патчи и т.д., но когда важна производительность, надежность решения (а это не только отсутствие уязвимостей в коде), необходимая функциональность qmail очень редко используют.

>Bogerm * (*) (23.03.2006 12:26:08)

rtc ★★ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

>> А на практике yahoo добавляет новый сервер, когда не хватает производительности этого чуда.

>И это считается недостатком? Или я не так понял? Вообще-то это признак хорошей расширяемости...

А думать мозгом, а не тем что у вас в голове не пробовали? В утрированной ситуации для одной и той же нагрузки вместо одного сервера с sendmail будет несколько с qmail.

rtc ★★ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

> а уж в тоннах патчей, писанных нерадивыми администраторами, ошибок
столько, что все остальные почтовые агенты просто идеальными покажутся.

Неправда в каждом слове. Покажи патчи, написанные нерадивыми админами.
Не тонну, хотя бы пару-тройку. Покажи "столько ошибок", сколько тебе
кажется запредельно большим количеством, достаточным для перехода
на sendmail ;) И ещё скажи, что делать с твоей притянутой за уши
теорией тем, кто использует qmail совсем без патчей? ;)

> Предыдущее обновление sendmail, связанное с безопасностью, было в 8.12.10, т.е. полтора года назад.

Ура! Это уже прогресс. А моя предыдущая установка qmail'a была сделана
в 1999-ом году...

> qmail - это как gentoo, когда нечего делать, то можно ставить, добавлять патчи

Какая глупость, какое незнание существа вопроса... Это ты так
вымещаешь злость на тех, кому сейчас не нужно переустанавливать
sendmail? ;))

anonymous ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

> Вопрос. Почему самый популярный? Чем он лучше того же postfix или qmail?

Есть вещи, которые сложно реализуемы в них. Postfix, в принципе, развивается и там появляется понемногу, ну а qmail... Это для фанов. :-)

AS ★★★★★ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

Исключительно для тех, кто будет читать этот всё, выбирая, какой почтовый сервер выбрать.

Пожалуйста, не подумайте, что sendmail - это устаревшая программа с проблемами безопасности. Местные комментаторы часто являются людьми нескромными, а главное, весьма слабо разбирающимися в том, о чём пишут.

anonymous ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

> А думать мозгом, а не тем что у вас в голове не пробовали?

Спинным что ли? Нет, не пробовал. А что, помогает?

> вместо одного сервера с sendmail будет несколько с qmail.

Не смешите мои тапочки. На один сервер с qmail нужно ставить в
противовес как минимум 2 сервера с sendmail уже хотя бы для того,
чтоб не останавливать sendmail во время замены его уязвимой версии на
новую ;)

anonymous ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

> qmail-у не требовалось никаких критических обновлений с 2001 года.
> Проще добавлять раз в полгода новый сервак, чем держать безмозглого
> админа,

Назови мне люпой доступный почтовик, где стоит qmail. Хочу штуку одну проверить.

AS ★★★★★ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

А кто тут кричал, что сендмыло давно уже не дырявое? Млин, ктакое впечатление что второй IE

anonymous ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

> sendmail уже хотя бы для того, чтоб не останавливать sendmail

А что мешает остановить ? Если он у тебя один, у тебя никаких особых тредований нет, если хотябы два, один вполне может полежать некоторое время.

AS ★★★★★ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

> Назови мне люпой доступный почтовик, где стоит qmail. Хочу штуку одну проверить.

Оригинально. Типа сам найти ну никак? 131.193.178.160. Успехов.
И не забудь доложить о результатах.

anonymous ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

>если у тебя 20 почтовых аккаунтов на одном сервере то всё отлично, если что то серъезное то это конец

Наверное, ты хотел сказать "20 почтовых доменов". А то пара тысяч аккаунов в десятке доменов для Qmail даже не заметна

anonymous ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

Всегда говорил, что Qmail это весчь :) Но не все верят. Но находятся ещё ортодоксы и любители нетрадиционного секса. Ну и фиг с ними :))

Desmaster ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

Не знаю как у вас у меня в Слаке ;-) (прим. 500 юзеров):

#slackupdate.sh #upgradepkg /tmp/slackupdate/*.tgz # m4 myconf.mc > config.cf #diff /etc/mail/sendmail.cf config.cf Всё ОК - #cp -f config.cf /etc/mail/sendmail.cf #/etc/rc.d/rc.sendmail restart (время выполн. ~ 1 сек. )

anonymous ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

А если Патрик ошибку допустил при сборке? У него случаются ошибки.
Что тогда петь будешь? Какой мотив насвистывать? ;)

anonymous ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

>> Назови мне люпой доступный почтовик, где стоит qmail. Хочу штуку одну проверить.

> Оригинально. Типа сам найти ну никак?

Вот еще искать...

> 131.193.178.160.

Мне еще хотябы один обслуживаемый домен нужен, его я тоже угадывать не хочу.

AS ★★★★★ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

Блин! Очередное удаленное выполнение произвольного кода! Пока эксполита в публичном доступе нет, но это вопрос времени. Следом тут-же последует очередной спамовый потоп.

Законодательно запретить sendmail, как одну из мер против спама! Предлагаю начать сбор подписей.

anonymous ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

> Во времени, в деньгах, в нервах, в возможных проблемах с клиентами.

Никаких проблем, крое, конечно, времени.

AS ★★★★★ ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

> Не знаю как у вас у меня в Слаке...
Дальше можно не читать - мнение пионера-любителя крайне редко представляет интерес для профессионалов.

anonymous ()

Re: Вышел sendmail 8.13.6: устранена серьезная уязвимость

> Мне еще хотябы один обслуживаемый домен нужен, его я тоже угадывать не хочу.

Так админ или программер? Доменное имя по IP никогда не учили находить?
К угадыванию этот процесс точно не имеет никакого отношения...

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.