Sendmail-ohjelmassa vakava tietoturva-aukko

OSS softa missä on bugeja! Ei voi olla, eikös me kaikki olla jo opittu täältä Sektorin(kin) sivuilta ettei avoimen koodin softissa ole koskaan mitään vikaa? Tuhannet silmät, paljon parempi systeemi ja paremmat koodarit jne jne...

Jos SendMail olis jonkun kaupallisen firman tuote täällä jo huudettais päitä vadille ja verta. Mutta ei ole muodikasta kommentoida koskaan mitään kun nämä OSS tuotteet vuotavat kuin seula.

Niin, kyllähän kaikki pingviini pukuiset ja muut tietävät enemmän kuin CERT, ISS ja muut...ja tämänkin Sektorin uutisen maksoi MS, eikö?

	Re: Ei voi olla totta... mxmattil, 4.3.2003 12:19:34	Pisteet: 0

En kai muuten arvaa väärin, että olet Linux/OS käyttäjä?

Mä olen!! Hei hei vaan kaikille.

Minusta tämä on äärettömän vakava asia. Niin ovat myös vastaavat reijät windowsin puolella. Miksi aina pitää kääntää ja vääntää kommentti reijästä sodaksi? Ei tajua.

Jos heitätte noita typeriä kommenttejanne, perustelkaa ne edes jotenkin.

http://www.dvd.to - DVD hakukone

Pisterajan alittavia kommentteja piilossa.

	Re: Ei voi olla totta... Anonyymi kommentoija, 4.3.2003 07:40:56	Pisteet: 0

OSS softa missä on bugeja! Ei voi olla, eikös me kaikki olla jo opittu täältä Sektorin(kin) sivuilta ettei avoimen koodin softissa ole koskaan mitään vikaa? Tuhannet silmät, paljon parempi systeemi ja paremmat koodarit jne jne...

Muistaako joku, millä vuosikymmenellä tuo sendmail keksittiin? 60-luvulla? 70-luvulla? ja yhä siitä löytyy näköjään virheitä. Ei ollenkaan hyvä!

	Re: Ei voi olla totta... Wiwre, 4.3.2003 08:54:29	Pisteet: 0

Muistaako joku, millä vuosikymmenellä tuo sendmail keksittiin? 60-luvulla? 70-luvulla? ja yhä siitä löytyy näköjään virheitä. Ei ollenkaan hyvä!

Virheitä siinä on vieläkin ja todennäköisesti vielä seuraavan 30 vuoden päästä. Kirjoitas kuule itse toimiva sähköpostiohjelma niin minä tulen tehotestaamaan sitä 30 vuoden päästä - katsotaan löytyykö virheitä...

	Re: Ei voi olla totta... jii, 4.3.2003 11:10:27	Pisteet: 0

Muistaako joku, millä vuosikymmenellä tuo sendmail keksittiin? 60-luvulla? 70-luvulla? ja yhä siitä löytyy näköjään virheitä. Ei ollenkaan hyvä!

Virheitä siinä on vieläkin ja todennäköisesti vielä seuraavan 30 vuoden päästä. Kirjoitas kuule itse toimiva sähköpostiohjelma niin minä tulen tehotestaamaan sitä 30 vuoden päästä - katsotaan löytyykö virheitä...

Miksi kaikki pitää tehdä itse paremmin? Sittenkö on vasta oikeus vaatia että näinkin yksinkertaiset bugit korjataan?

Siis pointtihan oli selvästi se että tollasta naurettavan lapsellisen helppoa aukkoa ei kertakaikkiaan _saa_ olla noin yleisessä ja VANHASSA softassa..

	Re: Ei voi olla totta... Wiwre, 6.3.2003 20:19:21	Pisteet: 0

Miksi kaikki pitää tehdä itse paremmin? Sittenkö on vasta oikeus vaatia että näinkin yksinkertaiset bugit korjataan? Siis pointtihan oli selvästi se että tollasta naurettavan lapsellisen helppoa aukkoa ei kertakaikkiaan _saa_ olla noin yleisessä ja VANHASSA softassa..

En minä tuosta naurettavasta bugista puhunut vaan naurettavasta kommentista: "ja yhä siitä löytyy näköjään virheitä." Siis että pidetään ihmeenä kun pitkäikäineenkään softa ei olekaan _täysin_ virheetöntä. Jos alalla työskentelee niin tietää miten mahdoton tuollainen vaatimus on toteuttaa näinkin isossa softassa.

	Re: Ei voi olla totta... Anonyymi kommentoija, 6.3.2003 22:22:05	Pisteet: 0

Jos alalla työskentelee niin tietää miten mahdoton tuollainen vaatimus on toteuttaa näinkin isossa softassa.

Minä työskentelen ja minusta sendmail on aika pieni softa.

	Re: Ei voi olla totta... Wiwre, 31.5.2005 13:32:26	Pisteet: 0

Jos alalla työskentelee niin tietää miten mahdoton tuollainen vaatimus on toteuttaa näinkin isossa softassa.

Minä työskentelen ja minusta sendmail on aika pieni softa.

NASAn aika pienestä sukkulanhallintajärjestelmästä piti tehdä bugiton softa. Sitä testattin pari vuotta ja senkin jälkeen bugeja löytyi, tosin luokkaa pari kappaletta vuodessa. Aika vaikea on tehdä bugitonta ohjelmaa, eikä siinä ole mitään ihmeellistä, että Sendmailista sellainen löytyi.

	Re: Ei voi olla totta... TeknoHog, 4.3.2003 10:05:57	Pisteet: +1

Jos SendMail olis jonkun kaupallisen firman tuote täällä jo huudettais päitä vadille ja verta. Mutta ei ole muodikasta kommentoida koskaan mitään kun nämä OSS tuotteet vuotavat kuin seula.

Sendmailin ongelmia ei pidä yleistää kaikkeen vapaaseen softaan sen enempää kuin Microsoftan ongelmia kaikkeen kaupalliseen. Itsekin ihmettelen miksi Sendmailia vielä käytetään niin paljon, kun turvallisempiakin vaihtoehtoja tuntuu olevan.

Päitä vadille -mentaliteetti tuntuu olevan taustalla monessa firmassa, jossa pitäydytään kaupallisessa softassa osittain sen takia, että siinä löytyy aina joku jota voi syyttää kun ongelmia tulee. Vapaassa softassa ei yleensä ole taustalla mitään määrättyä tahoa tai vastuuhenkilöä, eikä siitä useinkaan ole maksettu rahaa. Erilliset tukipalvelut ovat asia erikseen.

Eli eikö ole ihan luonnollista, miksi kaupallista ja vapaata softaa kohdellaan tällaisissa tilanteissa vähän eri tavalla?

-><-
Good shit, huh? Dozer makes it. It's good for two things: degreasing engines and killing brain cells.

	Re: Ei voi olla totta... feenix, 4.3.2003 22:15:22	Pisteet: +1

Sendmailin ongelmia ei pidä yleistää kaikkeen vapaaseen softaan sen enempää kuin Microsoftan ongelmia kaikkeen kaupalliseen. Itsekin ihmettelen miksi Sendmailia vielä käytetään niin paljon, kun turvallisempiakin vaihtoehtoja tuntuu olevan.

Ei pidä ei, varsinkin OSS-fanaatikot sanoutuvat irti juuri sendmailista, kun se on niin turvaton. Muutenhan joutuisivat toteamaan, että jopa avoimessa koodissa voi olla virheitä, joita ei huomata vuosiin. Ja sehän ei kävisi... ;)

Itse olen vähän vilkuillut qmailia, eximiä jne, mutta en ole ihan vielä vakuuttunut niiden upeudesta. Qmail ei tunnu taipuvan helposti siihen mitä itse haluaisin (kaikki tuttavat jotka tätä käyttävät eivät osaa sanoa miten haluamani asiat tehtäisi ja joukossa on ollut myös erään korkeakoulun mailiserverin hoitaja). Joten en sitten jaksa sen kanssakaan tapella, kun sendmail tekee juuri sen mitä haluankin. Missäs se laadukas OSS-yhteisön tuki nyt olikaan näille turvallisille softille, jos kerran sendmailille nämä asiat selitetään suoraan dokumentaatiossa?

Päitä vadille -mentaliteetti tuntuu olevan taustalla monessa firmassa, jossa pitäydytään kaupallisessa softassa osittain sen takia, että siinä löytyy aina joku jota voi syyttää kun ongelmia tulee. Vapaassa softassa ei yleensä ole taustalla mitään määrättyä tahoa tai vastuuhenkilöä, eikä siitä useinkaan ole maksettu rahaa. Erilliset tukipalvelut ovat asia erikseen.

Ja siksi ei ole mitään syytä tehdä sitä softaa kunnolla, kun kuitenkin "sulla on sorsa, korjaa ite." Ja sitä sitten saakin tehdä. Ja yleensä korjauksiakaan ei testata kunnolla, kunhan äkkiä saadaan joku korjaus ulos ja se siitä.

Eli eikö ole ihan luonnollista, miksi kaupallista ja vapaata softaa kohdellaan tällaisissa tilanteissa vähän eri tavalla?

On. Mutta silti OSS-fanaatikkojen pitäisi oikeasti miettiä 27 kertaa uudestaan onko se OSS jumalan lahja vai ei. Onneksi nuo fanaatikot eivät yleensä pääse kovinkaan näkyville paikoille sotkemaan ihmisten kuvioita. Netissä vaikutuksille alttiille nuorille kyllä saavat syötettyä ties mitä ja kun nuoriso ei kysele, ainoastaan katsoo ylöspäin 'guruja' niin...

Muuten, oli omituista että Debianissa tämä sendmail-päivitys oli alhaisella prioriteetilla...

	Re: Ei voi olla totta... Anonyymi kommentoija, 5.3.2003 07:49:36	Pisteet: 0

Muuten, oli omituista että Debianissa tämä sendmail-päivitys oli alhaisella prioriteetilla...

FYI, Debian tyrkyttää eximiä sendmailin tilalle.

	Re: Ei voi olla totta... feenix, 7.3.2003 13:01:24	Pisteet: 0

FYI, Debian tyrkyttää eximiä sendmailin tilalle.

Niin tyrkyttää, mutta sen ei luulisi vaikuttavan päivityksen turvaluokitukseen.

Pitäisikin varmaan tutustua eximiin tarkemmin, josko sillä saisi tehtyä kaiken mitä tarvitsee (varmaan saakin, eri asia vain miten paljon tarvitsee muutoksia omiin systeemeihin). Tähän mennessä ei ole viitsinyt kun on kuitenkin kovin erilainen ja sendmail on toiminut juuri niinkuin pitää jo vuosia.

	Re: Ei voi olla totta... Osama, 9.3.2003 01:58:02	Pisteet: 0

Itse olen vähän vilkuillut qmailia, eximiä jne, mutta en ole ihan vielä vakuuttunut niiden upeudesta. Qmail ei tunnu taipuvan helposti siihen mitä itse haluaisin (kaikki tuttavat jotka tätä käyttävät eivät osaa sanoa miten haluamani asiat tehtäisi ja joukossa on ollut myös erään

mikä asia on kyseessä?

orkeakoulun mailiserverin hoitaja).

Avoimen sorsan kannattajakunta ei tunnu sietävän minkäänlaista kritiikkiä itseään tai käyttöjärjestelmäänsä kohtaan. Avoin sorsa on avointa lähdekoodia, ei uskonto, jota pitää puolustaa miekka kourassa. Koettakaa nyt jo tajuta, että kaikissa ihmisen tekemissä ohjelmissa on aina virheiden mahdollisuus. Jos koodareita on 50, se ei tee ohjelmasta välttämättä yhtään turvallisempaa. Mitä useampi kokki, sen huonompi soppa.

	Re: Taasko äölk, 4.3.2003 08:57:43	Pisteet: 0

" Avoimen sorsan kannattajakunta ei tunnu sietävän minkäänlaista kritiikkiä itseään tai käyttöjärjestelmäänsä kohtaan." Ei jaksa sitä ainaista jauhamista kummassa on mukamas vähemmän reikiä tai muuta mätää, etenkään asioista mitään tietämättömien keskenkasvuisten anonyymien puolelta. Kyllähän sen jo uutisesta näkee, että rakkaasta sendmailista on _taas kerran_ löytynyt reikä. Ja mitä fsck:n väliä? Kaikki on bugista paskaa ja on niitä muitakin syitä valita käyttis (kuten käytettävyys => *nix, mutta siitä ei sitten aleta kanssa vääntämään kun on niin subjektiivinen asia, kiitos). Eikä pidä unohtaa sitä asiaa, että Microsoft vaatii rahaa softistaan. Kyllä silloin pitäisi vähän paremmin pitää huolta softansa bugittomuudesta kuin toisten vapaa-ajallaan harrasteena tekemistään softista (sendmail ei tosin tällälinen ole). Mutta Mikin tuotteissa ei ainakaan vähempää reikiä ole.

	Re: Taasko Anonyymi kommentoija, 4.3.2003 09:39:37	Pisteet: 0

i jaksa sitä ainaista jauhamista kummassa on mukamas vähemmän reikiä tai muuta mätää, etenkään asioista mitään tietämättömien keskenkasvuisten anonyymien puolelta.

Säälittävää... Niin säälittävää.
Ohitit anonyymin kirjoittaman asian ja keskityit vain haukkumaan keskenkasvuiseksi sekä mitään tietämättömiksi ja yrität ohittaa koko asian sillä, että kirjoittaja oli anonyymi.
Missä kohdin anonyymin tekstiä muuten löysit jankkaamista reikien määristä?

Voihan sitä keskustelua toki näinkin käydä, että haukut vain kirjoittajaa, kun et ilmeisesti osaa vastata itse asiaan mitään?

	Re: Taasko äölk, 4.3.2003 11:15:46	Pisteet: 0

" Säälittävää... Niin säälittävää. Ohitit anonyymin kirjoittaman asian ja keskityit vain haukkumaan keskenkasvuiseksi sekä mitään tietämättömiksi ja yrität ohittaa koko asian sillä, että kirjoittaja oli anonyymi. " Puhuin anonyymipelleistä yleensä, en juuri sinusta. Katso vaikka tämän artikkelin ensimmäistä viestiä ja tiedät, mistä puhun. Ja vastasin kyllä väitteeseesi OSS-tyyppien arvostelun kestosta heti alkuun. (Ja tämä vapaa softa links, johon olen tällä hetkellä rajoittunut on rikki, eikä osaa pistää tekstilaatikoihin kappalevaihtoja.)

No mitä ihmeen väliä, ku kukaan ei ole reikää 15 vuoden sisällä käyttänyt? Ne kärsii, jotka ei osaa päivittää.

	Re: jaahas Anonyymi kommentoija, 5.3.2003 00:27:00	Pisteet: 0

No mitä ihmeen väliä, ku kukaan ei ole reikää 15 vuoden sisällä käyttänyt? Ne kärsii, jotka ei osaa päivittää.

Jessus, mikä kommentti. Jos Sendmail pyörittää kolme neljännestä maailman s-postista, luuletko kaikkien palvelimien tulevan päivitetyksi sormia napsauttamalla?

	Re: jaahas Djadja-P, 7.3.2003 01:15:38	Pisteet: 0

Jessus, mikä kommentti. Jos Sendmail pyörittää kolme neljännestä maailman s-postista, luuletko kaikkien palvelimien tulevan päivitetyksi sormia napsauttamalla?

Itse asiassa luulen merkittävän osan tulevan päivitetyksi sormia napsauttamaTTa.

Valitettavasti ei kuitenkaan kaikkien, joten joku skripkiddie päässee murtautumaan johonkin jonkun muun tyekemällä softalla.

--
Ammutaanhan navetassakin!

Pisterajan alittavia kommentteja piilossa.

Vaikka sendmail huolehtiikin vielä nykypäivänä noin 2/3 internetin sähköpostista, on se auttamattomasti jälkeenjäänyttä koodia joka tulisi heittää välittömästi romukoppaan. Sendmailin rei'illä on pitkä ja tuskainen historia, esimerkiksi vuoden 1988 kuuluisa Morris-mato käytti hyväkseen kahta sendmailin reikää.

Vaihtoehtoja on monia.. Qmail, Exim.. jne jne..

Qmailin konfigurointi ei ole mitään juhlaa, mutta niin ei ole sendmailinkaan. Jotain kuitenkin kertoo se, että qmailin reiän löytämisestä on ollut luvassa rahapalkinto vuodesta 1997, eikä yhtäkään reikää ole silti löydetty.

http://www.qmail.org
http://www.exim.org

	Re: Sendmailin aika on ohi. Anonyymi kommentoija, 4.3.2003 11:12:51	Pisteet: +1

Qmailin konfigurointi ei ole mitään juhlaa, mutta niin ei ole sendmailinkaan. Jotain kuitenkin kertoo se, että vuodesta 1997 yhtäkään reikää ole löydetty.

-Hiljattain lueskelin Qmailin ohjeistusta http://www.lifewithqmail.com/) ja sain käsityksen että qmailin http://www.qmail.org) viimeisin versio 1.03 on kesäkuulta 1998. Kai 1.03 on edelleen se viimeisin? Onko qmailin suhteen odotettavissa enää minkäänlaista kehitystä? Esim versiosta 2 on puhuttu jo viime vuosisadalla mutta mitään ei ole asian suhteen ilmeisesti tapahtunut? Toki ohjelmaan on tullut harrastajien tekemiä plugineja mutta kuka tietää loppuviimeksi näiden vakaudesta ja tietoturvasta.

Kaikesta tästä huolimatta qmail vaikutti yksinkertaiseen toimintaympäristöön paljon mukavammalta vaihtoehdolta kuin sendmail. Olen jo hieman testaillut ja hyvältä vaikuttaa.

http://www.exim.org

-En ole tutustunut mutta uusista asioista pisti heti silmään: "Current Exim versions are 3.36 and 4.12, both of which are bug fix releases over the previous versions " ;-) Päivitys näyttäisi tulleen tämän vuoden puolella (ja muutamia viime vuonna) joten tuotetta ainakin kehitetään aktiivisesti.

	Ohjelmien ikä ja käyttökelpoisuus Daedalon, 4.3.2003 15:31:10	Pisteet: +1

Onko qmailin suhteen odotettavissa enää minkäänlaista kehitystä? Esim versiosta 2 on puhuttu jo viime vuosisadalla mutta mitään ei ole asian suhteen ilmeisesti tapahtunut? "Current Exim versions are 3.36 and 4.12, both of which are bug fix releases over the previous versions " ;-) Päivitys näyttäisi tulleen tämän vuoden puolella (ja muutamia viime vuonna) joten tuotetta ainakin kehitetään aktiivisesti.

Kun tuotteen tietoturvalla on väliä, ei oikein voi olla ottamatta huomioon vaihtoehtoa, että pitäisi käytössä vain tietyn ajan jakelussa olleita tuotteita, joista ei ole julkaisun jälkeen löydetty virheitä.

Sehän on vain huolestuttavaa, jos joku softa on tehty niin, että jatkuvasti löytyy virheitä, mitä pitää paikata. Uutuudenviehätys ei ole paha kaikissa asioissa, mutta tietoturvallisuuden suhteen erittäin huono.

Muun muassa Debianilla on selkeästi kaikille esillä hyvä toimintatapa: Unstablesta menee tietty aika, että paketti pääsee testingiin, ja testingistä vielä reippaasti lisää, että pääsee stableen, jota sitten mainostetaan etusivullakin. Tämän johdosta stableihin ollaankin oltu hyvin tyytyväisiä. Moni käyttää jopa unstablea, mutta testingiä on pidetty "viisaan valintana" kotipalvelimeen.

Qmail näyttäisi noudattaneen hyvää tietoturvapolitiikkaa, jos ovat vuonna 1998 saaneet aikaan ohjelmiston, jonka päivittämiseen ei ole syytä.

Toki mahdollista olisi myös se, että resurssit olisivat vain loppuneet kesken. Avoimen lähdekoodin softalla tämä kuitenkin on erittäin epätodennäköistä.

	Re: Ohjelmien ikä ja käyttökelpoisuus Osama, 9.3.2003 01:55:23	Pisteet: 0

Qmail näyttäisi noudattaneen hyvää tietoturvapolitiikkaa, jos ovat vuonna 1998 saaneet aikaan ohjelmiston, jonka päivittämiseen ei ole syytä.

ja qmail v1.00 julkaistiin 19970220...

	Re: Sendmailin aika on ohi. Anonyymi kommentoija, 4.3.2003 16:31:02	Pisteet: 0

Sendmailin rei'illä on pitkä ja tuskainen historia, esimerkiksi vuoden 1988 kuuluisa Morris-mato käytti hyväkseen kahta sendmailin reikää.

Huu... Taidat olla niin nuori, että tämä bugi on ensimmäinen jonka sinä olet nähnyt.

Vaihtoehtoja on monia.. Qmail, Exim.. jne jne.. Qmailin konfigurointi ei ole mitään juhlaa, mutta

Mielestäni tällaisen bugin paikkaaminen parin vuoden välein ei ole hirveä urakka. Suurin osa ajasta meillä menee kuitenkin pornon surffaamiseen tai pelien pelaamiseen.

Qmail ja kumppanit ovat niin eksoottisia ettei niistä taida vielä olla vakavaan yrityskäyttöön.

	Re: Sendmailin aika on ohi. Anonyymi kommentoija, 5.3.2003 10:23:16	Pisteet: 0

Vaihtoehtoja on monia.. Qmail, Exim.. jne jne..

Niin. Pahinta tässä on se, että oikeille tahoille asiasta on tiedotettu jo 13. tammikuuta. Tässä on siis OSS-yhteisö toiminut aivan liian hitaasti.

Tämä Sektorikin alkaa kyllä olla maksimaalisen rasittava paikka kun joka välissä pitää aloittaa winblows vs. lelux vääntö. Etenkin näiden winlamujen (hupsik on palannut?) puolesta nykyään. Jos anonyymikommentointia ei estetä kokonaisuudessaan, niin eikö tälläisisten tulenarkojen otsikoiden alla ainakin voisi estää anonyymikommentoinnin, jos ei vaikka kommentointia kokonaan, kun ei niihin juuri laatupostauksia kuitenkaan ilmesty?

	Re: Huoh Anonyymi kommentoija, 4.3.2003 07:45:45	Pisteet: 0

Etenkin näiden winlamujen (hupsik on palannut?)

Itse käytän molempia ja pyrin aina joka paikkaan tyrkyttämään Linuxia mutta kyllä täällä sektorissa enemmänkin OS-fanaatikkojen suusta.

Miten tämä on mahdollista? Edelleen!! Uskomatonta.

Siis vuodelta kivi ja kirves Sendmail on ollut täynnä tosi pahoja aukkoja.. ja silti sitä käytetään ja siitä löydetään näinkin yksinkertaisia aukkoja kuin buffer-overrun. Eikö näitä voisi pistää kerralla kuntoon rakentamalla pari funkkaria jotka estävät tälläiset?

Joo, ei tarvi sanoa että wintöötissäkin on aukkoja. Ihmetyttää kun sendmail on uunix-piireissä kamalan suosittu ja kaikki uuunix-nördät on niin tarkkana kaikkien tietoturva-aukkojen kanssa..

	Re: Sendmail buginen Anonyymi kommentoija, 4.3.2003 10:57:06	Pisteet: +1

Miten tämä on mahdollista? Edelleen!! Uskomatonta. Siis vuodelta kivi ja kirves Sendmail on ollut täynnä tosi pahoja aukkoja.. ja silti sitä käytetään ja siitä löydetään näinkin yksinkertaisia aukkoja kuin buffer-overrun. Eikö näitä voisi pistää kerralla kuntoon rakentamalla pari funkkaria jotka estävät tälläiset?

Mitä suositumpi ohjelma on sitä enemmän siitä löytyy aukkoja. Ilmeisesti tietoturvayhtiö Internet Security Systems (ISS) tekee sitä työtä mikä olisi pitänyt tehdä silloin kun ohjelma tehtiin, eli tekee yksinkertaisia testejä sille.

1. Miten ohjelma käyttäytyy normaaleilla parametreillä
2. Miten se käyttäytyy ilman parametrejä
3. Miten se käyttäytyy jättisuurilla parametreillä
4. Miten se käyttäytyy oikeankokoisilla mutta ei-valideilla parametreillä.

Neljä varsin nopeaa ja helppoa testiä jotka pitäisi aina tehdä kun ei olla varmoja millaista inputtia ollaan saamassa. Silti ne jäävät edelleen tekemättä myös suuremmilta firmoilta aina silloin tällöin.

	Re: Sendmail buginen Anonyymi kommentoija, 5.3.2003 00:29:12	Pisteet: 0

Neljä varsin nopeaa ja helppoa testiä jotka pitäisi aina tehdä kun ei olla varmoja millaista inputtia ollaan saamassa. Silti ne jäävät edelleen tekemättä myös suuremmilta firmoilta aina silloin tällöin.

Sallikaa ohjelmointipeelolle tyhmä kysymys: eikö näiden buffer overflow -juttujen varalle voi kehittää mitään (tai onko kehitetty) tarkistusmekanismia esim. kääntäjään?

	Re: Sendmail buginen Anonyymi kommentoija, 6.3.2003 11:41:50	Pisteet: 0

Neljä varsin nopeaa ja helppoa testiä jotka pitäisi aina tehdä kun ei olla varmoja millaista inputtia ollaan saamassa. Silti ne jäävät edelleen tekemättä myös suuremmilta firmoilta aina silloin tällöin.

Sallikaa ohjelmointipeelolle tyhmä kysymys: eikö näiden buffer overflow -juttujen varalle voi kehittää mitään (tai onko kehitetty) tarkistusmekanismia esim. kääntäjään?

On kehitettykin, mutta ei ole käytössä kovinkaan yleisesti. Esimerkiksi Immunix tarjoaa Linux-distroa jossa tuollainen mekanismi on.

http://www.immunix.com/

	Re: Sendmail buginen jjx, 4.3.2003 10:12:23	Pisteet: +1

Ihmetyttää kun sendmail on uunix-piireissä kamalan suosittu ja kaikki uuunix-nördät on niin tarkkana kaikkien tietoturva-aukkojen kanssa..

No sehän vaan kertoo ihmisistä. Sendmail on tunnetusti erittäin hankala virittää. Jos sen konffauksen on kerran kunnolla opetellut, sitä oppia ei varmasti heitä mielellään romukoppaan. Minun havainnot ylläpitohommista ovat sellaisia, että tekemistä on yleensä enemmän kuin riittävästi. Jos joku iso postipalvelin about toimii niin sitä ei ihan hevillä lähdetä vaihtamaan mihinkään toiseen. Mieluummin sitten patchataan sitä mukaa kun bugeja ilmenee.

[ei sodan aloitus]
Qmail itsessään on varmaan turvallinen, mutta epämääräiset muistikuvat ylläpito-ajoilta kertovat, että siihen olis sitten ollut syytä liimata kylkeen kaikenlaista kilkettä, jos sillä kaiken mahdollisen emailiin liittyvän olis halunnut hoitaa. Tuosta tietenkin herää epäilys, että ovatko kaikkien kilkkeiden koodaajat olleet yhtä taitavia kuin Bernstein.

Mitä tulee tuohon argumenttiin "on ollut rahapalkkio, eikä silti kukaan ole sitä häkännyt" niin tuollaisille ei yleisesti ottaen kannata niin hirveästi arvoa antaa. Tuohan on tyypillinen kikka jolla "uuden, täysin murtovarman" salausalgoritmin kehittäneet firmat yrittävät kerätä yleisön luottamusta. Jos joku asiansa osaava tyyppi haluaa metsästää turva-aukkoja softasta rahaa vastaan niin hän todennäköisesti hankkiutuu johonkin firmaan töihin.
[/ei sodan aloitus]

-Juha

Sendmail-ohjelmassa vakava tietoturva-aukko

IE:ssä neljä uutta kriittistä haavoittuvuutta

Haavoittuvuus F-Securen virustorjuntaohjelmistossa

CERT-FI: Witty-verkkomato leviää aktiivisesti

Sendmail-ohjelmistossa jälleen vakava haavoittuvuus

Apachessa palvelunestohyökkäyksen mahdollistava bugi