LINUX.ORG.RU

Критическая «дырка» в sendmail


0

0

ISS X-Force обнаружила ошибку переполнения буффера в sendmail. Эта ошибка позволяет злоумышленнику получить "root"/superuser привилегии в системе с неисправленным sendmail. Все версии с 5.79 до 8.12.7 включительно, на всех платформах, с открытым исходным кодом и коммерческие, подвержены данной проблеме.

Advisory от RedHat: https://rhn.redhat.com/errata/RHSA-20...

>>> Подробности

★★★★★

А сторонники sendmail'а кричат о его защищенности ;-)

anonymous
()

Вот уроды... Плакать надо, а не пальцы гнуть... Амба... Доверие к линуксу будет падать после таких приколов...

Deimos
()

О чем вы?
Плакать, пальцы гнуть, злорадствовать...
Тьфу!
Интересно, что ТАК повлияло на ваш менталитет, что временами стыдно бывает, посмотрев на такие реплики всяких "новообращенных служителей культа Линукса".

Все бывает и никто не застрахован.
Патчимся, в общем, а не фигней страдаем...

Mitrich
()
Ответ на: комментарий от Deimos

Ну и причем здесь linux ? Ну-ка скажи-ка мне?

anonymous
()

Админам предстоит жаркая ночка...
Ведь счас напишут червячка и получим нечто, что эпидемия сламмера нам детской забавой покажется.
Похоже самая лучшая защита, это использование наиболее редкого ПО на серверах. Хоть под общую гребёнку попадать будет нельзя.

anonymous
()

говорила вам мама "sendmail suxx"... lol

anonymous
()

Интересно, а сколько раз надо скомпрометировать sendmail, чтобы народ перестал в массовом порядке использовать эту сложную, монолитную и поэтому неизлечимо дырявую систему?
Есть же куча б/м безопасных альтернатив. В том же альтлинуксе уже тыщщу лет как отказались от сендмейла в пользу постфикс.

Нет, правда интересно.

А насчет компрометации даже не линукса, а всего юникса - это тоже правда. Будет очень трудно отмазаться в случае эпидемии.

AVL2 ★★★★★
()

da vse delo v tom chto tol'ko postavlennyj binary distributiv usaet imenno ego... prixoditza snosit' i stavit' postfix, xorosho u menja vezde postfix stoit :-)

gfdsa
()

А мне плевать на все утверждения "дырявости" sendmail'а, можно
подумать, что в других MTA дырок нет, я как использовал sendmail,
так и буду его использовать, просто альтернативы я ему не нашел
и еще долго наверное не найду, крики по поводу дырявости сендмайла
просто преувеличены многократно, все найденные придедущие дырки не особо сильно чего-либо позволяли, как в прочем и эта новая дырка,
довольно сомнительно ее использование, и наверняка требует
стандартного бинаря конкретного пакета, но у меня сендмаил
самостоятельно собран со своими специфичными патчами,
ну всеравно дырку эту мы залатаем, не буду же я переводить целую корпоративную почтовую систему под другие МТА, которые не
могут делать то, что мне нужно от сендмайла...




McMCC ★★★
()

Дык нужен сендмейл - пользуй сендмейл!
А вот зачем втыкать его по дефолту?
Чем там себе РХ думает?

AVL2 ★★★★★
()

>Чем там себе РХ думает?

Они то тут причем? Там есть и postfix, если кому надо.....

McMCC ★★★
()

по дефолту?

AVL2 ★★★★★
()

>по дефолту?

На выбор....

McMCC ★★★
()

работающий из под обычного пользователя маленький qmail, гораздо защищенней того же монстра-sendmail

qusk
()

>работающий из под обычного пользователя маленький qmail, гораздо
>защищенней того же монстра-sendmail

Sendmail тоже работает из под обычного пользователя, только
qmail сильно слаб в коленках по сравнению с возможностями
sendmail'а....

McMCC ★★★
()
Ответ на: комментарий от XCHG

> И че, на www.openbsd.org тоже будет теперь "Only two remote holes in the default install, in more than 7 years!" ;)

Нет. Поставьте свежий 3.2 и посмотрите, какие порты открыты наружу.

grange
()

Ну разорались флеймеры.
Давно уже понять что существует общая безопасность системы.
Ну получит он переполнение буфера. Ну даже положит он свой файлик в /tmp и будет его вечно от туда запускать из под рута ). Да он даже письма пользователей потереть не сможет. Только если можно в эксплойте достаточно большой код запихать то сетку может просканировать еще какой фигней помаяться и не более того.

Все под контролем ....

anonymous
()
Ответ на: комментарий от Deimos


> Доверие к линуксу будет падать после таких приколов...

А вот это глупость полнейшая! sendmail никогда не ассоциировался с линуксом.
Только с BSD и коммерческими юниксами! Авторы sendmail'a часто
повторяли, что и тестирование производится исключительно на *bsd и что линукс они официально не поддерживают. Если кто
помнит 1998-1999 гг. была проблемка у сендмыла на линуксе.
Они долго игнорировали и отказывались фиксить.

anonymous
()
Ответ на: комментарий от McMCC


> Sendmail тоже работает из под обычного пользователя

...с очень недавних пор...

> qmail сильно слаб в коленках по сравнению с возможностями
sendmail'а....

Ну да, и buffer overflow у qmail'a нету, и local exploit'ов
нету, и remote exploit'ов тоже нету. Весь стоит на коленках и плачет ;(

anonymous
()

Суньмэйл рулез! Скучно будет без этого гамна! Не выкидываем, продолжаем юзачить!

anonymous
()

кошмар! сколько криков!!! качаем патч - 5мин. накладываем, компилим ставим - 5 мин. ну, допустим, перегружаем - 2 мин. итого 12 мин. идем пить кофе дальше...

anonymous
()

сэндмэйл говно, набор глюков, никогда его не юзал и не буду, такое чувство что его M$ писали.... давить это глюкало... вобщем-то он издавна славился немерянным количеством дыр и щас продолжает...

MaR ★★
()
Ответ на: комментарий от anonymous

На моей машинке сендмыл собирается почти час :-P

Бинарные пакеты от вендоров - рулят.

green ★★★★★
() автор топика

>>допустим, перегружаем - 2 мин.

извините, но зачем????

Хотя не пользую я sendmail и никогда не пользовал.

кстати, просвятите плиз чего qmail то не умеет, а то я вот чего только не хотел от него, глядь в FAQ, а он енто штатно умеет...
Но кто знат, видать наши потребности далеки от крутых мира сего.

"наш Комсомол уверено преодалевает трудности, которые сам же себе создает" (с)

единственно мне известная проблема qmail это синхронный режим.. Что делает его малопригодным при соседстве на физическом сервере с нагруженой базой данных к примеру или файл сервером. Хотя на практике и это не проблема.


ifconfig
()

знаю, что незачем перегружать машину:)) это так, для увеличения времени работы:)) а еще некоторые молодые админы перешедшие с винды иногда по привычке так делают... :))

anonymous
()
Ответ на: комментарий от green

ну во Фре как-то не принято ставить бинарники :)) (хотя они и бинарники выложили, но где гарантия, что мои опции компиляции совпадают с ихними?) тем более что сервер должен быть мощным. но при условии совпадения архитектур и окружения, никто не мешает компилить на одной машине и перенести на другую...

anonymous
()

Вот шуму подняли. Ну дырка, ну и что? Редхат между прочим уже патч предложил и я его уже успешно поставил. Тут важна скорость реакции на проблему. Сколько народ ждет сервиспаков от Майкрософта, и с какой скоростью он вообще реагирует на подобные проблемы? Самые быстрые патчи выходят для вечно дырявых аутлуков и ишака а системный софт просто игнорируется зачастую.

При этом как-то особо криков про взломанные системы сендмейлом не слышно, а вот гуляющие по сети черви и троянцы для аутлуков - это уже норма жизни. И почему-то никто не говорит как Майкрософт роняет себя в глазах пользователей.

oduvan
()

green, ну нельзя же так.... :-) 8 минут на сервере под нагрузкой, и sm пересобран... reload секунд 5 и все. :-)

AS ★★★★★
()
Ответ на: комментарий от AS

Сервер серверу рознь ;) На моем Sparc Classic'е (Microsparc-50Mhz, 48M RAM), sendmail собирается за 40+ минут... (а собирать его приходится потому что RedHat перестало поддерживать Redhat6.2 для не x86, да и для x86 вот-вот перестанет).

green ★★★★★
() автор топика
Ответ на: комментарий от green

да... 50Mhz это и правда грустно... но я думаю, что эксплоиты появятся не меньше, чем через неделю. судя по сегодняшнему багтраку, инфа о дырке опубликована одновременно с появленинием новой версии SM и обновлений от всех основных поставщиков дистрибутивов. так что не менее дня у нас еще есть :)

anonymous
()

>> Sendmail тоже работает из под обычного пользователя
>...с очень недавних пор...

С ветки 8.10 это недавно?

>>qmail сильно слаб в коленках по сравнению с возможностями
>>sendmail'а....
>Ну да, и buffer overflow у qmail'a нету, и local exploit'ов
>нету, и remote exploit'ов тоже нету. Весь стоит на коленках и плачет ;(

Qmail сильно ограничен, и если бы в нем были эксплоиты и дырки,
то я сильно бы удивился, не все так просто уважаемый, когда qmail
будет иметь такие же возможности как и sendmail, то с удовольствием
на него перейду, а так, это игрушечный MTA, не сильно распространен
поэтому ломать его нахрен никому не сдалось.....

McMCC ★★★
()

А где эксплоит есть?
На securityfocus.org все тихо...

anonymous
()

И хоть одно ГУРУ напишет в чем оно с qmail не справилось и чем таким sendmail лучшее ?

anonymous
()

2green:
Ну не надо ставить линуксы на стааренькие спарки, не надо. То, что они быстрее работают, чем та же солярка 2.6 - гнусный миф. Родился из попыток ставить CDE, автомаунта и хреновой кучи сервисов в дефолтовой инсталляции. Не быстрее. НЕ БЫСТРЕЕ. Просто нужно просидеть день с напильниками, интернетом, сановскими патчами и мануалами и сделать нормальную конфигурацию (с привлечением FSF софта).
И получаем привычное окружение на ядре солярки - которое ГОРАЗДО шустрее линуксового.

Shadow ★★★★★
()

>И хоть одно ГУРУ напишет в чем оно с qmail не справилось и чем таким
>sendmail лучшее ?

Писали хренову кучу раз на ЛОР, сделай поиск... Просто надоело каждый раз
доказывать, что qmail сосет....

McMCC ★★★
()

анонимусу (2003-03-04 11:04:26.884)

"И хоть одно ГУРУ напишет в чем оно с qmail не справилось и чем таким sendmail лучшее ?"

Сто раз уж тут писали...
Без приделавыния кучи 3d party патчей qmail просто не функционален.
Так навскидку:
не может работать со вторым MX
не может работать с LDAP
не может работать с UUCP

Дальше лень писать...

Krause
()

аргументы на ЛОР выглядели след образом: у юзера есть 30 доменов. Как доставлять почту этому юзеру по некоторому нелинейному закону типа: если во втором домене есть пользователь u15@d2, то почту надо ебануть по адресу u25@d10 при условии, что пользователь u3@d4 существует, а u13@d7 почту не берет. Были и другие смешные штуки вроде: как для пользователя с нормальным инет доступом изобразить отсутствие инета, но почту принимать для всех его 10 доменов по какому-то ебанутому закону так, что бы юзер не догадался, что инет у него есть. Нормально такие задачи решаются не SMTP, а вызовом психиатрической бригады для постановщика задачи

anonymous
()

аргументы на ЛОР выглядели след образом: у юзера есть 30 доменов. Как доставлять почту этому юзеру по некоторому нелинейному закону типа: если во втором домене есть пользователь u15@d2, то почту надо ебануть по адресу u25@d10 при условии, что пользователь u3@d4 существует, а u13@d7 почту не берет. Были и другие смешные штуки вроде: как для пользователя с нормальным инет доступом изобразить отсутствие инета, но почту принимать для всех его 10 доменов по какому-то ебанутому закону так, что бы юзер не догадался, что инет у него есть. Нормально такие задачи решаются не SMTP, а вызовом психиатрической бригады для постановщика задачи

anonymous
()

sendmail круче qmail, linux круче bsd, windows круче linux Exchange круче всех.

А вообще про qmail это вы зря. Нет НИЧЕГО такого, что нельзя было бы сделать с помощью qmail, а можнл с помощью sendmail. Потому, что от MTA ничего кроме T не требуется. И поиском по LOR не отмажетесь.

anonymous
()

For those not running the open source version, check with your vendor for a patch. There is a bug fix for ident parsing in 8.12.8. While this is not believed to be exploitable, if you are not upgrading to 8.12.8, you may want to turn off ident checking by adding this to your .mc file:

define(`confTO_IDENT', `0s')

Бах и отключается дырочка :-)

anonymous
()

anonymous (*) (2003-03-04 11:04:26.884) & anonymous (*) (2003-03-04 12:09:59.029)

>И хоть одно ГУРУ напишет в чем оно с qmail не справилось и чем таким sendmail лучшее ?

Поищите в архиве.. доны уже много высказывались по этому поводу..

Alter ★★
()
Ответ на: комментарий от AS

5 минут, включая скачивание 8.12.8, конфигурирование и компилирование, тоже на сервере под нагрузкой. Кто меньше?

anonymous
()
Ответ на: комментарий от McMCC


> Просто надоело каждый раз доказывать, что qmail сосет....

А мне кажется тебе надоело самому отсасывать во флеймах sendmail vs qmail ;)

Насколько я помню, самый главный аргумент был - отсутствие
работающего uucp из коробки. На это сто раз было отвечено, что
0.0001% юзеров, которым в 21-ом веке все еще необходим uucp
несильно пострадают, наложив соответствующий патч...


anonymous
()

McMCC, кумыло -- не единственное. Что тебе нужно от сендмейла, чего не может, например, ехим? (Запрошенные Krause фичи -- работают, кроме ЮЮЦП, которую я не проверял на живучесть. Но, по идее, и оно должно пахать, никуда не денется.)

Kasper
()

>>не может работать со вторым MX
работает

>>не может работать с LDAP
не пробовал...

>>не может работать с UUCP
ага... а еще гимн советкого союза проигрывать не умеет %))

поднимите руки кто это использует?? а если использует, то дайте внятное объяснение зачем?

>>сильно распространен поэтому ломать его нахрен никому не сдалось.....

вот тут я со стула чуть не упал...

yahoo!!!
RIPE!!!

ну а paypal понятное дело ваще никому не нужун %))



ifconfig
()
Ответ на: комментарий от McMCC

Date: Mon, 03 Mar 2003 10:49:33 -0700 From: Todd C. Miller To: security-announce@openbsd.org Subject: remote buffer overflow in sendmail

[skipped] As shipped, OpenBSD runs a sendmail that binds only to localhost, making this a localhost-only hole in the default configuration. [skipped]

-- Andrushock

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.