mboost-dp1

unknown

Alvorlig sårbarhed i Sendmail

- Via Secunia -

Der er fundet en alvorlig sårbarhed i Sendmail, som kan bruges til at få root adgang. Problemet ligger i den måde som Sendmail fortolker bestemte headers på. Det formodes at Sendmail bliver brugt til at håndtere over 50% af alt email kommunikation på Internet. Der er kommet fejlrettelser til de fleste operativsystemer.





Gå til bund
Gravatar #1 - TYBO
4. mar. 2003 11:46
Godt man køre med windows :)
Gravatar #2 - sbeamer
4. mar. 2003 11:46
det må være jubilæums bug # 1.000.000! :p

...godt man kører QMail!
Gravatar #3 - sbeamer
4. mar. 2003 11:48
"Godt man kører windåse"....

...ja det GØR man jo også på sin ISP enterprise mail server med 400.000 brugere!.. nåååh nej!
Gravatar #4 - sKIDROw
4. mar. 2003 11:51
#1 TYBO

Hvad har det med mailservere at gøre?
Jeg vil så tilføje: Godt man kører Postfix!.. :)
Gravatar #5 - Sputler
4. mar. 2003 11:52
godt man lever i lykkelig uvidenhed.... DOH!
Gravatar #6 - Gulf
4. mar. 2003 11:54
Godt det er en fejl der "alm." mennesker har kendte i flere år og derfor ikke har brugt sendmail siden 1995
Gravatar #7 - sKIDROw
4. mar. 2003 12:08
#6

Ikke nødvendigvis den samme.
Sendmail har satme haft mange børnesygdomme, så jeg har ikke brugt sendmail i nogle år heller.. ;)
Gravatar #8 - TYBO
4. mar. 2003 12:11
<STRONG>sKIDROw</STRONG>: Bare fordi jeg er lidt småtræt af alle dem som skriver: "Godt jeg køre Linux" hver gang der kommer fejl i windows :)
Gravatar #9 - rasmuskaae
4. mar. 2003 12:11
opensource vs. closesource trolling: godt jeg kører windows!
Gravatar #10 - Praetorian
4. mar. 2003 12:14
<STRONG>Skidrow</STRONG>

Det gør Cybercity også på deres mailservers :-)

At jeg så nok vælger Windows 2000 til min server bunder mest i at jeg har nada erfaring med Linux. Derved bliver jeg lidt tvunget til at vælge en windows mail server.
Gravatar #11 - Izo
4. mar. 2003 12:22
#10:
Hvorfor dog ?
Så kan du lære det (linux, mailserver)

hehe...jaja, en god gammeldaws Ex2K er sgu ok til alm. små-firmaer.

BRIzo
Gravatar #12 - Praetorian
4. mar. 2003 12:33
Problemet er bare at jeg ikke har tiden til at bruge 14 dage-1 mned til at få et stabilt system til at kører. Det skal virke første gang uden at der skal laves alt for mange korrektioner. Og hvis jeg så roder med Linux så kommer jeg nok til at skulle lave en del rettelser for at få den optimale sikkerhed. Og jeg kender højst sansynlig ikke stederne hvor at det gøres.

Men hvis jeg endelig skulle vælge Linux så blev det E-Smith som blev lagt på den.
Gravatar #13 - sKIDROw
4. mar. 2003 13:01
#10 Praetorian


"Det gør Cybercity også på deres mailservers :-)"

De ved bare hvad der virker!.. :)


"At jeg så nok vælger Windows 2000 til min server bunder mest i at jeg har nada erfaring med Linux. Derved bliver jeg lidt tvunget til at vælge en windows mail server."

Tror du ikke du kunne finde en lille spand at lege med Linux på?
Det er sådan de fleste af os begyndte.. ;)


#12 Praetorian



"Problemet er bare at jeg ikke har tiden til at bruge 14 dage-1 mned til at få et stabilt system til at kører. Det skal virke første gang uden at der skal laves alt for mange korrektioner."

Findes sådan et system?
Ja laver da normalt et eller andet forkert første gang.. hehe


"Og hvis jeg så roder med Linux så kommer jeg nok til at skulle lave en del rettelser for at få den optimale sikkerhed. Og jeg kender højst sansynlig ikke stederne hvor at det gøres."

Arhh
Dokumentationen er nu til at have med at gøre da.. :)
Var det ikke noget at prøve at tage til en Installfest?


"Men hvis jeg endelig skulle vælge Linux så blev det E-Smith som blev lagt på den."

Kender jeg ikke, men har kun hørt godt om den.
Gravatar #14 - sKIDROw
4. mar. 2003 13:03
#8 TYBO

Uhmm
Nu er det nu ikke en egentlig Linux komponent.
Men ved godt hvad du mener.
Det er personligt heller ikke en adfærd jeg påskønner.. :o/
Gravatar #15 - seahawk
4. mar. 2003 13:25
#14:

Enig, men for nu lige at focusere på det jeg synes er fordelen ved oss produkter - hvor lang tid tog det lige før der var en fejlrettet version til rådighed? :o)
Gravatar #16 - Praetorian
4. mar. 2003 13:29
#13

Såvidt jeg ved så er de fleste installfester baseret på at lave en workstation maskine og ikke en server baseret install. Men jeg kan have taget fejl. Men jo det ville da være en mulighed. Men Jeg regner med at det bliver e-smith (www.e-smith.org) der bliver brugt til at starte med. Er det så ikke godtnok går jeg nok tilbage til Windows 2000.
Gravatar #17 - TcaT
4. mar. 2003 14:14
#15

ca. 4 måneder
(Hullet har været kendt siden 3-12-2002)
Gravatar #18 - seahawk
4. mar. 2003 14:22
#17:

Kan du uddybe det???

Når jeg ser på http://www.iss.net/issEn/delivery/xforce/alertdeta... er sendmail informeret d 13/1-2003.

På sendmails site har man så kunnet downloade en patch der fixe den nyeste version(8.12.x) d. 16/1 og en patch der kunne sikre tidligere (8.9-8.11) d 20/1.

I min bog er det henholdsvis 3 og 7 dage...
Gravatar #19 - TcaT
4. mar. 2003 14:30
På samme side:

Additional Information:The Common Vulnerabilities and Exposures (CVE) project has assigned the nameCAN-2002-1337 to this issue. This is a candidate for inclusion in the CVElist http://cve.mitre.org), which standardizes names for security problems.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-...

Og i bunden står:
Assigned (20021203)

Ergo må hullet være kendt allerede i december 2002.
Men om sendmail er informeret på samme tid er uvist?
Gravatar #20 - seahawk
4. mar. 2003 14:33
Så snakker vi også lidt over en måned fra de har opdaget den - men stadig kun 3 dage efter sendmail teamet er blevet gjort opmærksom på fejlen!

Jeg synes det er svært at klandre sendmail for at være en måned om at rette en fejl de ikke er blevet fortalt om...

Men ligegyldigt hvordan vi vender og drejer det var 4 måneder måske lige i overkanten... :)
Gravatar #21 - TcaT
4. mar. 2003 14:39
ja, men jeg har mine tvivl om, at sendmail ikke har vidst det før nu? Måske de har valgt først at rette fejlen og derefter advarer?

Men hvad hullet er rettet og alle er glade. :)
Gravatar #22 - Bobbedude
4. mar. 2003 14:45
Kan SendMail installeres på en ZX81 ?
Gravatar #23 - Infophreak
4. mar. 2003 14:53
sendmail og bind må være to af de stykker software der har haft flest sikkerhedshuller overhovedet. det er mig en gåde, at folk ikke er begyndt at bruge mere sikre MTAs såsom qmail...
Gravatar #24 - sKIDROw
4. mar. 2003 15:13
#23

De gør de fleste af os nu også, man derfor poster man stadig bugreports offentligt til ære for dem der ikke endnu har set lyset.. :D
Gravatar #25 - seahawk
4. mar. 2003 15:35
#23:

Der er jo sandsynligvis mange sysadmins der har brugt mange mange år på at blive gode til at configurere sendmail, og jeg vil egentlig heller have en dygtig sysadmin med et skidt stykke software, end en skidt sysadmin med et godt stykke software! :)

Og er det iøvrigt ikke kun den gamle "branch" af bind der er helt gal? Den nye(9.x???) er da vist en total rewrite...
Gravatar #26 - Tomcat
4. mar. 2003 16:12
#4

Kan ikke være mere enig...Postfix is here to stay...
Det samme gør Qmail.... også en cool mailserver.
Gravatar #27 - dasbutt
4. mar. 2003 16:55
HA! Så er det godt man kører FreeBSD!!!!!!

... Nej seriøst, jeg droppede sendmail og installerede Postfix, det tog en par stille aften timer og så virkede diverse scripts og mailinglister.
Så vidt jeg kan se, kan sendmail en del flere ting,(nu er jeg jo heller ikke Postfix haj endnu) men jeg kan godt leve uden de ting og istedet for have en config jeg kan hitte ud af.

Men jeg kunne godt forstille mig at hvis man havde bruge for en masse sindsyge forskellige ting, ville sendmail sikkert være en godt ting at have. Men altså, et program der har en compiler til compile sine konfigurations filer 8*) er ikke for alm. hvide mennesker.
Gravatar #28 - Raenil
4. mar. 2003 17:47

#11 Izo
”hehe...jaja, en god gammeldaws Ex2K er sgu ok til alm. små-firmaer.”

Ikke for at genere nogen, men: Sendmail er en MTA. Exchange 2K er et kollaborations værktøj. Sendmail ville aldrig have skyggen af chancen i vores organisation – der mangler simpelthen en ordentlig kalenderfunktion. Som jeg ser det, er alternativet til Exchange ikke Sendmail men Lotus Notes (som iøvrigt også er ganske godt). Skal vi sende "rigtigt" mange mails, ville man sikkert erstatte SMTP-agenten med en sendmail - men jeg kender ingen organisationer, hvor det kan forsvares, ved en eksisterende Exchange organisation.

Nej, POP3/IMAP er ikke godt nok.
Gravatar #29 - sKIDROw
4. mar. 2003 18:49
#28 Raenil


”hehe...jaja, en god gammeldaws Ex2K er sgu ok til alm. små-firmaer.”

"Ikke for at genere nogen, men: Sendmail er en MTA. Exchange 2K er et kollaborations værktøj. Sendmail ville aldrig have skyggen af chancen i vores organisation"

Med Exchangehar man samlet en masse ting, som man i unix sammenhæng nok ville sammensætte af flere komponenter.


"der mangler simpelthen en ordentlig kalenderfunktion."

Det er ikke noget man normalt indbygger i en mailserver.
MS og Lotus har så haft held at bygge alt i en pakker, som Exchange og Domino.


"Som jeg ser det, er alternativet til Exchange ikke Sendmail men Lotus Notes (som iøvrigt også er ganske godt)."

Hvis endelig jeg skal fluekneppe, så er notes klienten.. ;P


"Skal vi sende "rigtigt" mange mails, ville man sikkert erstatte SMTP-agenten med en sendmail - men jeg kender ingen organisationer, hvor det kan forsvares, ved en eksisterende Exchange organisation."

Det er mest i ISP sammenhæng vi mener.
Men hverken Exchange eller Domino er til at betale.
Så alternativer er MEGET velkomne.. :)


"Nej, POP3/IMAP er ikke godt nok."

Nej men man kan jo nok implementere kalender på så mange andre måder.. ;)
Gravatar #30 - mikbund
4. mar. 2003 18:56
who cares, TDC har lukket af på port 25 og det er kun mig selv som har adgang til boxen :-) Desuden hvad har jeg af interessant på min spand? NADA.
Men Debian kommer og postfix kommer da snart ind skal bare lige have en midlertidig router.
Gravatar #31 - Deternal
4. mar. 2003 19:31
Domino rocks jo - men asso, de fleste ville da kunne klare sig rigtig rigtig godt med SuSE email server III f.eks.? (mail, kalender, mailinglist etc.) - eller måske SCO's Volution messaging server 2 (1'eren var ikke lige hurra) - og ja de 2 produkter er så heller ikke gratis men godt nok en god bid billigere end både exchange og domino.

Og hvis man så ikke bruger MS Office i forvejen - ja så er Exchange jo næsten tåbeligt at vælge ;P

Domino ta'r man hvis man også vil gå videre med nogle af de ekstremt nice ting man kan smide ovenpå (f.eks. Sametime og Quickplace).

Update: 33 dage tog updaten - ISS X-force laver public advisory 30 dage efter 'first' contact med udvikleren - så det kan være de har sendt en mail med "we have discovered a vulnerability in sendmail versions X - X - please contact mr. y" det er så ikke til at vide hvornår den rigtige person så har hittet ud af hvad fejlen er ;P
Men 33 dage fra first contact nevertheless.
Gravatar #32 - Praetorian
4. mar. 2003 23:13
MTA ?
Gravatar #33 - annoia
4. mar. 2003 23:15
Mææhl Transfer Agent... Og jeg bruger så Exim
Gravatar #34 - duke
4. mar. 2003 23:30
nu skal jeg blande mig..
den store nix guru.... eller nej

eh godt at man køre potfix.

men det er ikke så skide godt at man kan får root vha af en mta..

det er ikke god karma
Gravatar #35 - west
4. mar. 2003 23:43
> "En ondsindet person vil være i stand til at udnytte
> sårbarheden ved at konstruere en email, som indeholder en
> meget lang, ondsindet kommentar i "from:" adresse-headeren."

Hmm ... som i

From: west_som_synes_du_lugter_af_pis_og_din_mor_lugter_af_ged
_og_din_far_arbejder_for_microsoft_og_jeg_har_voldtaget_din_søster
_30_gange_med_en_have_stol_fra_Bilka

Mon den er ondsindet nok?
Gravatar #36 - grav
5. mar. 2003 01:12
Godt at man kører Skoda.
Gravatar #37 - annoia
5. mar. 2003 06:43
Grav - Uhm... Skolernes Database? Det er du vist den første i verdenshistorien der har sagt..
Gravatar #38 - RoceKiller
5. mar. 2003 08:35
godt man har chroot'ed sin sendmail ;)
Gravatar #39 - sKIDROw
5. mar. 2003 09:27
#34

Nej det er ikke god værkstedshumor.. ;D
Gravatar #40 - Raenil
5. mar. 2003 13:39
****ADVARSEL***ADVARSEL****
Følgende partiske indlæg er
skrevet af en gut, der lever at
at konfigurere og sælge Microsoft
Boxe.
**************************

#29 skidrow

Kort og hurtigt, jeg tror nok at vi næsten er enige:

Selvfølgelig er muligt at implementere samme systemer på en unix/linux/bsd/whaterver. Det skal bare lige fixes først. Det, som jeg ser som fordelen ved Exchange/domino/lignende systemer er, at det er implementeret.

Ex: Kunde har 8 brugere. Han skal bruge en filserver, en printer server, en dhcp server, en web-cache og en post server.

Min løsning: Køb en Windows 2000 Small Business Server. Den tager en dag at sætter op (inklusive Servicepacks og Hotfixes). Det er dælme billigt, og sandsynligheden taler for, at med ordentligt hardware (med raid), så vil boxen stå og holde sig selv med selskab i et års tid endnu - medmindre kunden skal have lavet grundlæggende om i ret meget.

Du har ret i at licensen er billigere ved Linux (ikke ved unix) - men der findes ikke noget tilsvarende postsystem, som er så hurtigt og nemt. For ja, det kan implementeres - men hvorfor opfinde den dybe tallerken igen?
Gravatar #41 - west
5. mar. 2003 13:43
Raenil - smid en RH8.0 op, så kører både SMTP og POP3 stort set pr. default, Samba er a piece of cake, DHCP og Squid kan ordnes på 10 min ... :)
Gravatar #42 - Deternal
5. mar. 2003 14:18
#40: SuSE e-mail server III, SuSE groupware server (ja ok den kører så Domino) - anyway mange andre muligheder end win2k - især hvis boxen så at sige skal passe sig selv vil jeg sige det kan betale sig - hvis man har en der er kompetent til at vedligeholde en windows server så har du nok ret i at det er en bedre løsning (dog vil jeg til enhver tid undgå outlook da det koster for meget tid med alle de angreb der er på det program :P).
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login