Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Tiistai, 1.4.2003

Sendmail-ohjelmistossa jälleen vakava haavoittuvuus

Internetin yleisimmästä sähköpostin välitysohjelmistosta on jälleen löytynyt uusi haavoittuvuus. Edellisen kerran Sendmail oli otsikoissa maaliskuun alussa, kun ylläpitäjiä kehoitettiin päivittämään järjestelmänsä. Kuten edellinenkin haavoittuvuus, myös uusi haavoittuvuus liittyy Sendmailin tapaan käsitellä viestien otsikkotietoja. Erityisesti muotoillulla sähköpostin otsikko-osalla sähköpostipalvelimessa voi saada aikaan palvelunestotilanteen tai suoritettua haluamaansa ohjelmakoodia.

Avoimeen lähdekoodiin perustuvan Sendmail-ohjelmiston kaikki 8.12.9-versiota vanhemmat versiot ovat haavoittuvuudella alttiita. Ylläpitäjiä suositellaan jälleen päivittämään Sendmail viimeisimpään versioon tai asentamaan haavoittuvuuden paikkaava korjauspäivitys.

Lue juttu oma, 1.4.2003 00:07. Lähde: CERT

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 20 uutta / 20 )
pistettä.
Näytä vain kommentit joilla on vähintään
Pisterajan alittavia kommentteja piilossa.
Re: Hyvästit sendmailille
Anonyymi kommentoija, 1.4.2003 05:18:46		 Pisteet: 0
Oivoi, nyt riitti. Byebye, sendmail.
Viimeaikoina löytynyt 2 reikää joihin löytyy jo korjaus ja heti olet heittämässä hyvää softaa pois? Ei ole edes vaikeaa paikata. Sanopa parempi softa kun sendmail.
Re: Hyvästit sendmailille
Anonyymi kommentoija, 1.4.2003 05:34:39		 Pisteet: 0
Oivoi, nyt riitti. Byebye, sendmail. Viimeaikoina löytynyt 2 reikää joihin löytyy jo korjaus ja heti olet heittämässä hyvää softaa pois? Ei ole edes vaikeaa paikata. Sanopa parempi softa kun sendmail.
Ottamatta kantaa paremmuusasiaan, itse olen käyttänyt qmailia nyt jo parisen vuotta ja siitä ei ole muuta kuin positiivista sanottavaa.
Re: Hyvästit sendmailille
Anonyymi kommentoija, 1.4.2003 08:16:24		 Pisteet: 0
Sanopa parempi softa kun sendmail.
qmail... postfix... oikeastaan meilkein mikä tahansa meilinlähetyssofta on parempi kuin sendmail. Sendmailin ainoa etu on sen helppo conffattavuus, mutta sekin on saavutettu vain rajoittamalla ominaisuuksia .

Haavoittuvuuksista en sano mitään. Niitä löytyy joka softasta. Mutta nyt olisi hyvä hetki ainakin koittaa jotain muuta softaa, ja jos ne eivät vastaa odotuksia, niin ainahan sitä voi paikata sendmailin taas käyttökuntoon....
Re: Hyvästit sendmailille
Anonyymi kommentoija, 1.4.2003 14:13:45		 Pisteet: 0
Sendmailin ainoa etu on sen helppo conffattavuus, mutta sekin on saavutettu vain rajoittamalla ominaisuuksia .
Ei kun se olikin se toinen postinvälityssofta. Sendmail olikin se, millä voi tehdä mitä vain, ja mikä oli vaikea konffata.
Re: Hyvästit sendmailille
Anonyymi kommentoija, 1.4.2003 07:53:21		 Pisteet: 0
Onko parempi että reikiä löytyy, vai että niitä ei löydy? Niitä on kumminkin.
junix Re: Hyvästit sendmailille
junix, 1.4.2003 01:49:11		 Pisteet: 0
Näimpä, taidampa myös harkita vakavasti vaihtoa parempaan... pitää vain näin laiskana miettiä onko suurempi työ päivitellä tätä jatkuvasti, vai opetella uuden käyttö ja conffaus..
Re: Hyvästit sendmailille
Anonyymi kommentoija, 1.4.2003 06:54:52		 Pisteet: 0
Näimpä, taidampa myös harkita vakavasti vaihtoa parempaan... pitää vain näin laiskana miettiä onko suurempi työ päivitellä tätä jatkuvasti, vai opetella uuden käyttö ja conffaus..
Ja oletat, että tätä uutta ei tarvitse päivitellä?
Re: Hyvästit sendmailille
Anonyymi kommentoija, 1.4.2003 08:57:58		 Pisteet: 0
Ja oletat, että tätä uutta ei tarvitse päivitellä?
No voisi melkein olettaa. Eikös qmail ole jo useita vuosia ollut ilman päivitystä ja reikiä? Kyllä se jo hieman softan rei'istä kertoo.
Re: Hyvästit sendmailille
Anonyymi kommentoija, 1.4.2003 11:14:24		 Pisteet: 0
Ja oletat, että tätä uutta ei tarvitse päivitellä?
No voisi melkein olettaa. Eikös qmail ole jo useita vuosia ollut ilman päivitystä ja reikiä? Kyllä se jo hieman softan rei'istä kertoo.
Kauankos sendmail oli ilman päivitystä ja reikiä?
feenix Re: Hyvästit sendmailille
feenix, 2.4.2003 12:00:03		 Pisteet: 0
Ja oletat, että tätä uutta ei tarvitse päivitellä?
No voisi melkein olettaa. Eikös qmail ole jo useita vuosia ollut ilman päivitystä ja reikiä? Kyllä se jo hieman softan rei'istä kertoo.
Kauankos sendmail oli ilman päivitystä ja reikiä?
8.12.5 (2002-06-25) korjasi yhden DNS mapin overflow-vian, joka ilmeni vain tietyissä tilanteissa (tietääkseni tuota ei paljoa käytetä, joten voidaan mennä taaksepäin vielä)

8.12.4 (2002-06-03) korjasi teoreettisen DoS-tilanteen

8.12.1 (2001-10-01) lisäsi testin onnistuiko setgid vai ei, tuo ehkä jo voisi olla hieman ikävämpi bugi, jos tilanne tulee, jossa ei onnistukaan.

Tuon jälkeen taaksepäin mentäessä tuntuu security-korjaukset olleen enemmän ennaltaehkäiseviä, tai Linuxin bugien kiertoa tms, ei reikien paikkailua. En jaksanut vuotta 1998 pidemmälle alkaa tonkia. Muuten tietysti on ollut päivityksen arvoisia muutoksia ja lisäyksiä, en sinänsä vuoden 1998 sendmailia välttämättä ajaisi missään, vaikkei noita paria ikävää reikää olisikaan.
Re: Hyvästit sendmailille
Anonyymi kommentoija, 1.4.2003 14:40:31		 Pisteet: 0
Ja oletat, että tätä uutta ei tarvitse päivitellä?
No voisi melkein olettaa. Eikös qmail ole jo useita vuosia ollut ilman päivitystä ja reikiä? Kyllä se jo hieman softan rei'istä kertoo.
qmailia on käytetty useamman vuojen eikä ole juurikaan ongelmia ollut, eikä se nyt mikään vaikea oo konffata..?
feenix Re: Hyvästit sendmailille
feenix, 1.4.2003 13:32:25		 Pisteet: 0
Ja oletat, että tätä uutta ei tarvitse päivitellä?
No voisi melkein olettaa. Eikös qmail ole jo useita vuosia ollut ilman päivitystä ja reikiä? Kyllä se jo hieman softan rei'istä kertoo.
Ja siitä ettei ohjelmisto kehity yhtään minnekään.
Re: Hyvästit sendmailille
Anonyymi kommentoija, 1.4.2003 17:01:25		 Pisteet: +1
Ja oletat, että tätä uutta ei tarvitse päivitellä?
No voisi melkein olettaa. Eikös qmail ole jo useita vuosia ollut ilman päivitystä ja reikiä? Kyllä se jo hieman softan rei'istä kertoo.
Ja siitä ettei ohjelmisto kehity yhtään minnekään.
Onko kaikkien ohjelmien välttämätöntä kehittyä jatkuvasti? Mitä sähköpostinvälitysohjelman pitäisi tehdä muuta kuin välittää sähköpostia? Kenties sisältää puhuvia agentteja?
Onko Windowsisi laskin kehittynyt viime vuosina?
feenix Re: Hyvästit sendmailille
feenix, 2.4.2003 11:47:55		 Pisteet: 0
Ja siitä ettei ohjelmisto kehity yhtään minnekään.
Onko kaikkien ohjelmien välttämätöntä kehittyä jatkuvasti? Mitä sähköpostinvälitysohjelman pitäisi tehdä muuta kuin välittää sähköpostia? Kenties sisältää puhuvia agentteja?
Ei kaikkien pidä kehittyä. Jos joku on tyytyväinen ohjelmistoon, joka on vuosia muuttumatta ja tarjoamatta mahdollisesti oikeasti tarpeellisia lisäominaisuuksia, siitä vain. Hassua vain, että muissa postipalvelinohjelmistoissa uusia ominaisuuksia tulee jatkuvasti ja niitä kehitetään. qmail on kai sitten niin ylivoimaisen upea, että muiden kehitys voidaan lopettaa, kun se oli jo vuosia sitten parempi kuin nämä nykyiset. Vai olisikohan sittenkin niin, että sillä on kovin rajoittunut käyttäjäkunta, toisin kuin näillä muilla, joita kehitetään?

Onko Windowsisi laskin kehittynyt viime vuosina?
Ahaa, eli qmail on yhtä yksinkertainen kuin Windowsin laskin. Se selittääkin monta asiaa.
Re: Hyvästit sendmailille
Anonyymi kommentoija, 1.4.2003 20:48:49		 Pisteet: 0
Ja siitä ettei ohjelmisto kehity yhtään minnekään.
Totta, sendmailiin pitäisi saada vähintään klemmari, mielellään kaksi.
Avoimen herätys
Anonyymi kommentoija, 1.4.2003 10:35:10		 Pisteet: +1
Avoimuudesta on aina puhuttu, että hyvänä puolena on avoin koodi, jota kaikki voi tutkia ja korjata virheet. Näin virheidenkin pitäisi löytyä nopeammin. Näin se varmasti teoriassa onkin, mutta miten on käytäntö.

Vaikka lähdekoodit on ollut kaikkien nähtävillä, niin kuinka moni voi sanoa, että on koodia tutkinut ja mahdollisesti tehnyt sinne muutoksia tai muuten vain tutkinut, löytyisikö sieltä reikiä?

Ehkä tämä on vain hyväksi koko Avoimuudelle, että herätään siihen, että pelkkä lähdekoodin saatavuus ei takaa ohjelman turvallisuutta, vaan lähdekoodia pitää myös tutkia jotta niitä reikiä löytyy. Ei niitä "ilmaiseksi" tutkijoita kuitenkaan kauheasti löydy, jotka se puolestasi tekee.

Etua saadaan vasta kun saadaan suuremmat massat liikkeelle tutkimaan jaettavissa olevaa lähdekoodia.
Re: Avoimen herätys
Anonyymi kommentoija, 1.4.2003 12:55:48		 Pisteet: 0
Avoimuudesta on aina puhuttu, että hyvänä puolena on avoin koodi, jota kaikki voi tutkia ja korjata virheet. Näin virheidenkin pitäisi löytyä nopeammin. Näin se varmasti teoriassa onkin, mutta miten on käytäntö.
Jokainen luottaa siihen, että muut ovat lukeneet koodin läpi ja korjanneet ongelmat.
Re: Avoimen herätys
Anonyymi kommentoija, 1.4.2003 23:31:09		 Pisteet: 0
Jokainen luottaa siihen, että muut ovat lukeneet koodin läpi ja korjanneet ongelmat.
Tämäpä se suurin ongelma onkin.
Re: Avoimen herätys
Anonyymi kommentoija, 6.4.2003 03:15:53		 Pisteet: 0
Jokainen luottaa siihen, että muut ovat lukeneet koodin läpi ja korjanneet ongelmat.
Tämäpä se suurin ongelma onkin.
Olisipa.

Sanoisin, että jokainen luottaa siihen, että distronsa mukana tullut sendmail on "ihan hyvä" ja käyttävät sitä "ongelmitta" vuosikausia.

Päivityksiä tehdään sitten, kun tietomurto huomataan ja sitten on jo liian myöhäistä.

Karu totuus on, että ihmiset ovat laiskoja. Tämän takia tietomurtojen uutisoiminen on ikävää, koska viime aikoina pahimmat tietomurrot ovat käyttäneet hyväksi bugeja, jotka uusimmissa päivityksissä on jo korjattu (tässä puhun nyt MS:n tuotteista).