Neue Lücke in Sendmail
- Ersteller Athaba
- Erstellt am
Paldium
Well-Known Member
Jetzt auch hier:
http://www.openbsd.org/errata.html
Der eigentliche Grund für mein Posting ist aber ein anderer:
Im NetBSD-Changelog steht "Fixed: NetBSD-current: May 30, 2006", damit ist doch sicherlich gemeint, dass Sendmail aus dem NetBSD-Code entfernt wurde. Andererseits hätte man doch besser schreiben können, dass NetBSD-current "not affected" ist.
Aber ist wohl nur 'ne kleine Spitzfindigkeit.
http://www.openbsd.org/errata.html
Der eigentliche Grund für mein Posting ist aber ein anderer:
Im NetBSD-Changelog steht "Fixed: NetBSD-current: May 30, 2006", damit ist doch sicherlich gemeint, dass Sendmail aus dem NetBSD-Code entfernt wurde. Andererseits hätte man doch besser schreiben können, dass NetBSD-current "not affected" ist.
Aber ist wohl nur 'ne kleine Spitzfindigkeit.
T
tib
Guest
Athaba schrieb:
Es wird NICHT die letzte bleiben!
Wetten?
lars
vom mars
0815Chaot
FreeBSD/sparc64-Tüftler
Zum Thema qmail hier drei nette Links:
http://www-dt.e-technik.uni-dortmund.de/~ma/qmail-bugs.html
http://www.scip.ch/cgi-bin/smss/showadv.pl?id=483
http://www.securityspace.com/de/smysecure/catid.html?id=53661
Man findet sicher noch mehr, einfach bei Google "qmail security advisory" eingeben.
Und bei TeX kann man sich auch nicht sicher sein. Das kann man bei keiner Software, die mehr tut, als "Hello World" auszugeben. Natürlich ist TeX schon ziemlich ausgereift, aber das haben andere auch schon von gewisser Software gedacht...
Es wird gerade so getan, als wäre Sendmail ein einziges Sicherheitsloch und alle anderen MTAs wären per se sicherer. Dem ist bei weitem nicht so, verfolgt doch einfach mal die einschlägigen CERTs.
http://www-dt.e-technik.uni-dortmund.de/~ma/qmail-bugs.html
http://www.scip.ch/cgi-bin/smss/showadv.pl?id=483
http://www.securityspace.com/de/smysecure/catid.html?id=53661
Man findet sicher noch mehr, einfach bei Google "qmail security advisory" eingeben.
Und bei TeX kann man sich auch nicht sicher sein. Das kann man bei keiner Software, die mehr tut, als "Hello World" auszugeben. Natürlich ist TeX schon ziemlich ausgereift, aber das haben andere auch schon von gewisser Software gedacht...
Es wird gerade so getan, als wäre Sendmail ein einziges Sicherheitsloch und alle anderen MTAs wären per se sicherer. Dem ist bei weitem nicht so, verfolgt doch einfach mal die einschlägigen CERTs.
Grund fuer dieses kindische Verteufeln von sendmail ist die Unfaehigkeit vieler Anwender und Admins mit dem Programm umzugehen. Da liegt es auf der Hand, dass es der einfachere Weg ist ueber schlimme Sicherheitsluecken und doch so archaische Konfigurationsdateien zu laestern. Die Alternative - das Lesen von Dokumentation - ist dieser Gruppe zu anstrengend. Da kommt die Ausrede zum boesen sendmail genau richtig...
Elessar
Huldigt dem _/\_
Natürlich kann man immernur die Existenz von Bugs zeigen (in dem man sie findet) und niemals die Abwesenheit von Bugs beweisen.0815Chaot schrieb:
Das wollte ich mit meinem Post auch gar nicht implizieren.
Es gibt nur Software, bei der ich die Wette eben nicht annehmen würde, da ich mir praktisch keinerlei Chancen auf einen Gewinn ausrechne.
0815Chaot
FreeBSD/sparc64-Tüftler
Und auch einer der ersten Mailserver überhaupt. Aus diesen Fehlern konnten alle nachfolgenden MTAs lernen. Im Übrigen hatte UNIX vor 30 Jahren auch den Ruf eines unsicheren Flickenteppichs - heute ist es wohl eher andersrum. Die Zeit bleibt eben nicht stehen, und wer verwendet denn noch eine 30 Jahre alte Software-Version? Sicherheitstechnisch geben sich die meisten MTAs heute nicht viel.double-p schrieb:
Wenn man doch, wie du selbst schreibst, die Nichtexistenz von Bugs nicht beweisen kann, dann kann man bei so einer Wette doch ohnehin nur gewinnen. Bei mancher Software muß man halt nur länger auf sein Geld warten als bei anderer.Elessar schrieb:
T
tib
Guest
Ich habe gerade mal die Slides durchgelesen und das deckt sich mit einer Aussage im Handbook.lars schrieb:
Natürlich ist die Integrität des Systems die primäre Zielsetzung.
Aber bei obiger Formulierung sollte sich der Autor dieser Zeilen fragen lassen,
ob es sinnvoll ist FreeBSD auf einem System zu betreiben bei dem Hochverfügbarkeit eine der essentiellen Anforderungen darstellt.
Oder mit anderen Wort, fragt mal asg oder jemanden hier im Forum der FreeBSD produktiv betreibt,
was deren Chef sagen würde, wenn die Maschine steht und sie dann antworten:
"Sie wurde aber nicht gehackt, sondern nur von einem Nutzer platt gemacht!"
Ihr dürft mich jetzt gerne prügeln, aber ich empfinde deratige Aussagen als MEGA BULLSHIT!
T
tib
Guest
Sendmail ist nicht böse, sondern nur die Angreifer die die Sicherheitslöcher ausnutzenj_t schrieb:
.Mal ehrlich, es verbietet Dir doch keiner sendmail zu verwenden.
Aber, wie bereits im Thread erwähnt, ist das Programm eben in einem gewissen Kontext entstanden,
in dem Sicherheit nicht relevant war!
Warum also nicht ein Programm verwenden, bei dem die Intention war es besser zu machen (wie postfix oder qmail).
Ein Evalurierung der resulitierenden Bugs kann keiner wegdiskutieren (selbst DJB nicht).
Ich habe letzendlich nur etwas gegen die Einstellung
"Das haben wir schon immer so gemacht, das werden wir auch in Zukunft so machen!"
Wie war, wie war. Sendmail hat Vorteile, grade wenn es mal was komplizierter werden darf und mit anderen Systemen harmonieren soll (z.B. LDAP). Aber diese Stärke ist auch gleichzeitig Sendmails größte Schwäche.
Und was soll das bitteschön aussagen? Danach gibts nur ein Fazit: Nichts installieren, Format c: -shutdown please.
Ich bin auch kein unbedingt konservativer Freund von "Never touch a running System", aber diese pauschale verteufelei geht mir aufn Sack.
T
tib
Guest
1. Hattest Du das PDF durchgelesen?marzl schrieb:
2. Hattest Du das Zitat durchgelesen?
Findest Du es akzeptabel, wenn ein lokaler Nutzer ein System plätten kann?
T
tib
Guest
Auch, aber nicht nur!marzl schrieb:
Wenn ein fehlerhaftes Programm es einem Nutzer erlaubt das Betriebssystem abzuschiessen
und das dann noch nicht einmal ein offizieller Bug ist,
dann finde ich solche Aussagen intolerabel.
(siehe ktrace/kdump)
An alle die glauben, dass ein man ein hochsicheres System schaffen kann und dabei ruhig Shellaccounts an nicht vertrauenswuerdige Personen vergeben kann:
MACHT ES DOCH EINFACH!
Der Erfolg wird sich spaetestens nach ein paar Tagen einstellen... :-)
Was das allerdings noch mit dem Subject sendmail zu tun haben soll, weiss ich wirklich nicht.
MACHT ES DOCH EINFACH!
Der Erfolg wird sich spaetestens nach ein paar Tagen einstellen... :-)
Was das allerdings noch mit dem Subject sendmail zu tun haben soll, weiss ich wirklich nicht.
T
tib
Guest
Mit der Argumentation darfst Du niemanden einen Shellaccount geben!j_t schrieb:
Oder was machst Du wenn der Account einer "vertrauenswürdigen" Person korrumpiert wird?
Hatten die Slides irgendetwas mit sendmail zu tun?
Dort taucht das Wort null mal auf.
Elessar
Huldigt dem _/\_
Du kannst die Bugfreiheit von "Hello World." auch nicht beweisen, auch wenn es bugfrei ist. Nur weil man etwas mathematisch nicht beweisen kann, heisst das noch lange nicht, dass es nicht so ist.0815Chaot schrieb:Wenn man doch, wie du selbst schreibst, die Nichtexistenz von Bugs nicht beweisen kann, dann kann man bei so einer Wette doch ohnehin nur gewinnen. Bei mancher Software muß man halt nur länger auf sein Geld warten als bei anderer.
Ich erwarte keinen Fehler mehr in TeX, daher nehm ich die Wette nicht an.
T
tib
Guest
ACKmarzl schrieb:
Der Spruch wird Schneier zu geschrieben.Sicherheit ist kein Rezept, sondern ein Konzept, wenn ich mal das Phrasenschwein auspacken darf
Wenn ich mich richtig erinnere meinte Bejtlich in "Tao Of Network Security Monitoring",
dass der Spruch ursprünglich von einer anderen Company stamme.