PDA

Bekijk Volledige Versie : En we gaan patchen !



Mikey
23/03/06, 17:08
http://secunia.com/advisories/19342/

Denk dat deze wel onder de aandacht mag, mede doordat deze door meerdere vendors gebruikt wordt in verschillende programma's en versies.

Gr.
Mike

phreak
23/03/06, 17:09
Shit .. en ik wou net mijn gehakt op gaan zetten!

Mikey
23/03/06, 17:11
Wat een toeval :), maare gehaktballen of ruw gebakken ?

Triloxigen
23/03/06, 17:13
Volgens mij gebruiken hier de meeste sendmail hier niet echt, maar gaat alles via qmail.

phreak
23/03/06, 17:16
Wat een toeval :), maare gehaktballen of ruw gebakken ?

Nou .. Dus echt gehaktballen (Paprikaatje snijden, uitje snijden beetje knoflook en bakken maar :))

phreak
23/03/06, 17:17
Oja, en de ballen nog draaien .. grr.. vieze\ handen--

lifeforms
23/03/06, 17:17
Dood aan Sendmail!

Viva Postfix!

PowerSp00n
23/03/06, 17:27
Volgens mij gebruiken hier de meeste sendmail hier niet echt, maar gaat alles via qmail.

Postfix! :p

Technotop
23/03/06, 17:28
Jô.. en daar komen ze nu mee (Gelukkig sendmail al tijd geleden verbannen ;-) )

Thijs
23/03/06, 17:28
Dood aan Sendmail!

Viva Postfix!


Ligt eraan, voor een mailserver wel.... voor een simpele client die een mailformpje moet kunnen versturen niet. (daar bestaat nog iets veel simpelers voor zelfs).

Late reactie... was volgens mij dit weekend al bekend hoor :)

rayden
23/03/06, 17:52
Dood aan Sendmail!

Viva Postfix!

Postfix!! :D:D

phreak
23/03/06, 17:56
Gehaktballen!! :D :D

Digiover
23/03/06, 18:11
De advisory (US-CERT) lezende lijkt het me een moeilijk te exploiten bug.
Sendmail contains a race condition caused by the improper handling of
asynchronous signals. In particular, by forcing the SMTP server to
have an I/O timeout at exactly the correct instant, an attacker may be
able to execute arbitrary code with the privileges of the Sendmail
process.
Maar wellicht dat er spoedig een exploit beschikbaar komt die geforceerd kan laten voldoen aan at exactly the correct instant... Gelukkig gebruik ik nergens Sendmail (geintje van vroeger: Ik vergeet mn rootwachtwoorden nooit :))

rayden
23/03/06, 18:23
Gehaktballen!! :D :D

Phreak..wanneer kan ik een keer zelfgemaakte gehaktballen bij je komen eten :( :P

phreak
23/03/06, 18:27
Phreak..wanneer kan ik een keer zelfgemaakte gehaktballen bij je komen eten :( :P

Uhh... je hebt meerdere kansen gehad is et niet Gijs, maar de deur staat open (achterdeur nu, omdat et lekker weer is :)), maar je komt maar :D

Mikey
23/03/06, 18:38
Hebben jullie nooit de compile installatie gevolgt van postfix ? Als hij er is (sendmail) laat hij deze staan en gebruikt deze deels nog ?!

@triloxigen, nou kan het control panel wel qmail gebruiken, php spreekt toch echt je sendmail aan

Digiover
23/03/06, 18:49
@triloxigen, nou kan het control panel wel qmail gebruiken, php spreekt toch echt je sendmail aan
In het geval van qmail is dit een sendmail emulator.

VantilborgICT
23/03/06, 18:55
Uhh... je hebt meerdere kansen gehad is et niet Gijs, maar de deur staat open (achterdeur nu, omdat et lekker weer is :)), maar je komt maar :D

Mag ik ook gehakt komen eten via de backdoor?

Dennie-DeTi
23/03/06, 19:32
In het geval van qmail is dit een sendmail emulator.
Volgens mij bij exim (DirectAdmin) ook het geval.

Volgens mij hebben wij ook nergens meer sendmail :).

- Dennie

Wido
23/03/06, 19:51
Postfix, Exim, Qmail hebben allemaal een sendmail ala ding emulator.

Maaruh, Qmail for president!

Postfix is leuk als lokale MTA voor op een webserver, maar voor het echte werk neem je Qmail, duidelijk :) :D

SebastiaanStok
23/03/06, 21:30
Betekend dit dat ik postfix moet update??

dotXS
23/03/06, 22:12
apt-get remove exim4 exim4-base exim4-config
apt-get install postfix postfix-mysql

Eerste 2 commando's bij een Netinstall van Debian :)

Digiover
23/03/06, 22:14
Postfix is leuk als lokale MTA voor op een webserver, maar voor het echte werk neem je Qmail, duidelijk :) :D

Daarover valt te discussieren... Wij lopen steeds vaker tegen qmail gebreken aan. En dan noem ik schaalbaarheid nog niet eens als gebrek.
Maar goed, dat is weer een heel andere discussie :P

Mikey
23/03/06, 22:47
Ik werk zowel met sendmail, exim, qmail en postfix. Alles heeft zijn voordelen en ook weer zijn nadelen. Wat betreft uitspraak van wido mbt postfix leuk voor lokale MTA, ook hier wil ik wel een discussie aan wagen...

Wido
23/03/06, 23:00
Ik werk zowel met sendmail, exim, qmail en postfix. Alles heeft zijn voordelen en ook weer zijn nadelen. Wat betreft uitspraak van wido mbt postfix leuk voor lokale MTA, ook hier wil ik wel een discussie aan wagen...Sommige dingen die ik zeg moet je met een korreltje zout nemen ;)

Ik ben erg blij met Qmail, nette C code waar zelf leuke hacks in te bouwen zijn.

Postfix is daarintegen ook een goede MTA.

Exim heb ik alleen maar problemen mee gehad.

Mikey
23/03/06, 23:19
enigste nadeel van qmail vind ik, mocht er iets fout gaan dan gaat het ook goed fout :). Heel ver grijs verleden wel eens gewoon een en ander verwijderd uit de queue :), dat heb ik geweten. En nog een klein nadeel maar dat doet niet af qua qmail zelf, maar er wordt niet tot nouwelijks nog aan ontwikkeld. djb heeft iets gemaakt wat vrij robuust is, maar laat het daar eigenlijk bij. Maarja, waarom iets verder ontwikkelen wat goed is is de andere kant :)

MikeN
23/03/06, 23:22
Mensen die op dit moment nog sendmail gebruiken moeten zich toch eens gaan afvragen of ze echt niet over kunnen op een ander product.

Zelf zweer ik nog altijd bij Exim overigens.

Mikey
23/03/06, 23:29
Mensen die op dit moment nog sendmail gebruiken moeten zich toch eens gaan afvragen of ze echt niet over kunnen op een ander product.

Zelf zweer ik nog altijd bij Exim overigens.

Why ? Gebruik het zelf nog, en dan nog dat geklooi met m4 :).. Heerlijk !

royen99
23/03/06, 23:33
@triloxigen, nou kan het control panel wel qmail gebruiken, php spreekt toch echt je sendmail aan

Qmail *vervangt* doorgaans de sendmail binary door een 'qmail-sendmail' (of beter gezegd, hij maakt er een link van).

Oftewel: /usr/sbin/sendmail != sendmail

Mikey
23/03/06, 23:36
Qmail *vervangt* doorgaans de sendmail binary door een 'qmail-sendmail' (of beter gezegd, hij maakt er een link van).

Oftewel: /usr/sbin/sendmail != sendmail

ik had het gezien nadat ik binary code eens bekeken had,

frvge
24/03/06, 00:05
Lees jij binary? Ik lees octaal :)

Mikey
24/03/06, 00:07
bleh :) je snapt wat ik bedoel ..

en er had moeten staan de binary en bedoel niet de binary code 010101 . Blijft krom :D

SebastiaanStok
24/03/06, 11:17
Grr die stome up2date wil niet update :mad:

Dat word dus weer handmatich installeren, normaal geen problemen mee maar als dit fout gaat werkt me mail niet meer :(

Edit: Is er voor postfix eigenlijk een update of geld dit voor sendmail zelf?? wand ik heb sendmail via postfix :o

MikeN
24/03/06, 12:53
Why ? Gebruik het zelf nog, en dan nog dat geklooi met m4 :).. Heerlijk !
Omdat sendmail ieder jaar wel een keer lek is en heeft bewezen niet veilig te zijn. Ik heb dan ook het gevoel dat er genoeg private exploits voor sendmail beschikbaar zijn op dit moment. De kans dat er iemand met je box gaat lopen kloten is gewoon veel te groot, zeker omdat er veel goede alternatieven zijn.

Mikey
24/03/06, 17:00
Omdat sendmail ieder jaar wel een keer lek is en heeft bewezen niet veilig te zijn. Ik heb dan ook het gevoel dat er genoeg private exploits voor sendmail beschikbaar zijn op dit moment. De kans dat er iemand met je box gaat lopen kloten is gewoon veel te groot, zeker omdat er veel goede alternatieven zijn.

Zit nu me zelf af te vragen of ik serieus hierop in moet gaan, ik weet wat er rond zwerft aan exploits, mocht je dit in twijfel trekken... Kan je dan ook alleen vertellen dat ik een van de oprichters geweest ben van een niet nader te noemen security fora. Het is altijd hoe je er mee om gaat, hoeveel mensen hoor je wel niet zeggen dat fcore* standaard out of the box slecht en insecure is. Is het niet zo dat de schil en alles eromheen in principe hetzelfde is als een andere flavor. Dat er veel goede alternatieven zijn wil nog niet de regel zijn dat een produkt wat in het verleden een reputatie behaald heeft per definitie altijd slecht zal zijn of blijven. Het vergt alleen onderhoud en tijd.

Neem als voorbeeld phpbb, hoe vaak de mndere hosters wel niet de dupe zijn van dit pakket, waar ligt hier het probleem en sterker nog waarom blijft men het nog steeds gebruiken ?

Maar dit is mijn keus, en heb voor mezelf bepaalde redenen waarom ik bepaalde MTA's verkies boven een andere MTA voor een bepaalde job.

HostServe
24/03/06, 17:03
MikeN kan wel eens gelijk hebben dat er misschien teveel private exploits in de omloop zijn.
Enkele jaren terug was ik een van de scriptkiddo's die het leuk vonden om andermans exploits te gebruiken en zichzelf een hacker te noemen.
Ik heb in die tijd veel geleerd van security en weet dat er private exploits in de omloop zijn die niet iedereen heeft, ook niet een of ander security forum.

phreak
24/03/06, 18:36
MikeN kan wel eens gelijk hebben dat er misschien teveel private exploits in de omloop zijn.
Enkele jaren terug was ik een van de scriptkiddo's die het leuk vonden om andermans exploits te gebruiken en zichzelf een hacker te noemen.
Ik heb in die tijd veel geleerd van security en weet dat er private exploits in de omloop zijn die niet iedereen heeft, ook niet een of ander security forum.

Mjah, wie kent die Tuxtendo, XP en etC pub niet .. wat zaten er soms kiddo's bij.

Domenico
24/03/06, 19:04
en weet dat er private exploits in de omloop zijn die niet iedereen heeft, ook niet een of ander security forum.

Zeker, wel meerderen. :)

Digiover
25/03/06, 03:12
Mjah, wie kent die Tuxtendo, XP en etC pub niet .. wat zaten er soms kiddo's bij.

Haha, XP was echt lachuh! :D Vooral hoe de botjes terug ge-"0wned" werden ;)
Maar goed, er gaat al jaren een gezegde rond: Installeer Sendmail op een machine als je vreest je rootwachtwoord te vergeten.

Mikey
25/03/06, 03:25
en weet dat er private exploits in de omloop zijn die niet iedereen heeft, ook niet een of ander security forum.

Blijkbaar ken je mijn achtergrond, connecties etc etc beter dan ik zelf.

rayden
25/03/06, 03:38
Mjah, wie kent die Tuxtendo, XP en etC pub niet .. wat zaten er soms kiddo's bij.

Jup, en het trieste is sommige houden zich er nu nog STEEDS mee bezig (Vooral die gekke zweden o.a.) Die hebben de boot naar volwassenheid echt geimist.

Maar om even terug te komen op de discussie: MTA van keuze? Persoonlijk ben ik helemaal verliefd op Postfix, heb echter geen moeite om met QMail of Exim om te gaan.

Er zijn zoveel bugs gevonden in sendmail de laatste paar jaren, waarvan meerdere malen kritiek.

Wat betreft de private exploits kan men heel simpel zijn, tuurlijk zijn er altijd private exploits (0 days) in de ronde die waarschijnlijk veel meer schade kunnen aanrichten dan 'maar een sendmail' lekje. Meestal worden ze pas ontdekt als een stel scriptkids die zooi in handen krijgt en er gelijk mass scanners voor bouwt om zo hun ddos bots stal mee te vullen. Daarna pikt een of andere honeypot ze op en het hek is van de spreekwoordelijke dam.

Wat betreft Mikey's punt over dat fedora core standaard insecure zou zijn sluit ik me bij aan. Het ligt er maar net aan hoe je het OS installeert en inricht en welke functie het betrekt. Het OpenBSD fabeltje van "Not a Remote hole in the install in balbla years" vind ik dus echt b*llshit. Het OS installeert gewoon NIETS. Ja woo, een OpenSSH daemon. Nou als je standaard FC4 installeert met alleen SSH naar buiten toe open gebeurt er ook vrij weinig met je box.

Overgins nog een algemene opmerking; je kan nog zo dicht met je neus bovenop de 31337 underground h4x0r security fora's/IRC/enz zitten, maar exploits zijn maar een klein onderdeel van je totale security. Het is leuk natuurlijk als je weet wat er allemaal rondzweeft aan exploits maar als je de rest ook niet goed op orde hebt val je net zo gemakkelijk ten prooi als dat je b.v. een remote sendmail zou draaien uit 1980. (Bij wijze van).

Waarom zoveel mensen nog phpBB gebruiken? Persoonlijk denk ik gebruiksgemak, phpBB is makkelijk te installeren voor de beginnende users en dat is precies wat de mensen willen. Lekker simpel, en het verspreid zich snel rond als het ease of use is. Security is voor een meerderheid van end users een 2e als het maar lekker makkelijk is.

Just my 2 cents.

phreak
25/03/06, 10:15
Haha, XP was echt lachuh! :D Vooral hoe de botjes terug ge-"0wned" werden ;)
Maar goed, er gaat al jaren een gezegde rond: Installeer Sendmail op een machine als je vreest je rootwachtwoord te vergeten.

Ja hè, Jan, toch was et een leuke tijd, tho..