ISS: kritiek lek in Sendmail
Internet Security Systems (ISS) heeft een kritiek lek ontdekt in Sendmail, een programma dat ongeveer 70 procent van al het wereldwijde e-mailverkeer afhandelt.
Internet Security Systems (ISS) heeft een kritiek lek ontdekt in Sendmail, een programma dat ongeveer 70 procent van al het wereldwijde e-mailverkeer afhandelt.
ISS: kritiek lek in Sendmail
Internet Security Systems (ISS) heeft een kritiek lek ontdekt in Sendmail, een programma dat ongeveer 70 procent van al het wereldwijde e-mailverkeer afhandelt.
Het lek werd ontdekt door een medewerker van ISS, Mark Dowd. Volgens hem kunnen hackers pc's overnemen door gemanipuleerde codes op onregelmatige tijdsintervallen naar een smpt-mailserver te versturen. Actie aan de kant van de gebruiker is daarbij niet nodig.
Het lek komt voor in de Unix- en Linux-versies van de open-sourcesoftware (versie 8.13.5 en lager). Ook de commerciële producten van Sendmail — Sentrion, Intelligent Quarantine, Sendmail Switch, Sendmail Managed MTA, Sendmail Multi-Switch en Sendmail Message Store/SAMS — zijn lek. Windows-gebruikers hebben in alle gevallen geen last, aldus Sendmail.
Hoewel nog geen exploits in het wild zijn aangetroffen, denkt Gunter Ollmann van ISS dat veel hackers het lek zullen vinden. "Omdat smtp een van de weinige 'listening services' is die door de firewall wordt toegelaten, denken we dat kwaadwillenden veel moeite zullen doen om het lek te misbruiken en zich toegang te verschaffen tot netwerken van bedrijven en de overheid."
Het Sendmail Consortium raadt gebruikers van Sendmail met klem aan een upgrade naar versie 8.13.6 te installeren. Patches voor versie 8.13.5 en 8.12.11 zijn eveneens beschikbaar, maar deze 'werken mogelijk niet goed door wijzigingen in latere versies', aldus het Consortium.
Hmmz.... Inderdaad heeft Sendmail vaker lekken vertoont. Maar ik vind het sowieso vreemd dat er nog 70% van de mensen Sendmail zou gebruiken als er zoiets prachtigs als Postfix bestaat.
Het geen overigens bij mijn weten steeds meer gebruikt wordt. Is niet alleen sneller, kan ook meer aan en heeft nogal leuke beschermingsopties.
Uiteraard ook veel eenvoudiger in te stellen dan Sendmail.
Voor mij geen sendmail meer.:)
@oersoep:
het lek is niet alleen beperkt tot PC's of een OS, het is uiteraard wel beperkt tot alleen computers die sendmail draaien, maar dat zal wel duidelijk zijn ;)
groetjes,
/Frank.
@oersoep
Het betreft alleen linux en unix computers waarop sendmail staat en die binnenkomende berichten accepteert.
Dus door mails naar een smtp server te sturen, kunnen PC's overgenomen worden?
Alle PC's? Of alleen PC's die op linux/unix draaien?
Of alleen PC's die als server fungeren?
Waarom alleen PC's?
Ik kan me ook niet voorstellen dat iemand dit nog zou gebruiken, kan natuurlijk vannuit historische oogpunten (XS4ALL bijvoorbeeld). Maar gezien de frequente security issues en overgecompliceerde configuratie lijkt het me ook niet verstanding.
Omdat ik tijdens kantooruren het niet kan maken om de mailserver plat
te gooien, doe ik dat liever na werktijden van jan en alle man.
Unattended upgrades, daar zal ik nooit aan beginnen. En als je de
update fouten van de laatste weken ziet, onder windows server 2003,
mcaffee, symantec (en dat is de laatste 2 weken) is het zeer
onverstandig om unattended upgrades te doen.
Sterker nog, elke update wordt bij ons eerst op een none-critical test
server uitgevoerd alvorens deze op een productie server te zetten.
Ok, misschien is mijn/onze situatie dan die van jou/jullie. Loadbalancers voor de mailers, alle installaties identiek etc, dus een test op 1 server en daarna naar de rest pushen. Met 150+ servers ga je dat echt wel unattended doen.
Ooit een microsoft product gebruikt wat iets volgens een RFC zou moeten doen? Of het nu de DHCP server is, de Namesever software of die ranzige Exchange, overal is wel _iets_ mee mis..
@little-peet:
Zoals het oort ;)
groeten,
/Frank.
wel bijzonder om te zien hoe makkelijk een open-source lek weggewuifd wordt ten opzichte van een m$ lek; als dit een lek van M$ Server zou zijn, staat hier de boel binnen een half vol met moord en doodslag posts :)
Het bijzondere aan dit bericht (met verhouding tot MS) is: er is alreeds een upgrade beschikbaar. Als er een lek wordt ontdekt, EN er is door de OSS community binnen 4 uur GEEN fix: DAN wordt er moord en brand geschreven.
Bijzonder ook dat je een dollarteken gebruikt om de S van 'Soft' in Microsoft aan te geven.. =)
@Jorix
Dat geld voor sommige fouten. Andere kunnen ook maanden duren. Voorbeelden:
[Link]
- Mozilla / Mozilla Firefox Cross-Domain Cookie Injection Vulnerability (2004-09-18)
- Mozilla / Mozilla Firefox Apple Java Plugin Tab Spoofing Vulnerability (2004-08-30)
All is in the eye of the beholder...
Reactie Microsoft: Ziet u wel, weer een extra reden om microsoft producten te gebruiken!
@redecal
Het probleem bij MS is dat ze de put meestal dempen nadat het kalf verdronken is, hierbij zijn nog geen ItW exploits aangetroffen.
sendmail heeft een lange geschiedenis van security issues, dus bepaald niet verbazingwekkend dit.
iets anders: ik geloof niet dat 70% van de mailservers dit gebruikt... postfix, qmail, en exim hebben een behoorlijk marktaandeel verworven.
@redecal: Zou dat misschien komen doordat er voor veel van de Open Source lekjes direct een patch / update beschikbaar is, waar dat bij MS vaak weken of soms maanden op zich laat wachten? ;)
Hoezo vanavond?
Kwestie van een goede buildfarm en unattended upgrades.
Omdat ik tijdens kantooruren het niet kan maken om de mailserver plat te gooien, doe ik dat liever na werktijden van jan en alle man.
Unattended upgrades, daar zal ik nooit aan beginnen. En als je de update fouten van de laatste weken ziet, onder windows server 2003, mcaffee, symantec (en dat is de laatste 2 weken) is het zeer onverstandig om unattended upgrades te doen.
Sterker nog, elke update wordt bij ons eerst op een none-critical test server uitgevoerd alvorens deze op een productie server te zetten.
wel bijzonder om te zien hoe makkelijk een open-source lek weggewuifd wordt ten opzichte van een m$ lek; als dit een lek van M$ Server zou zijn, staat hier de boel binnen een half vol met moord en doodslag posts :)
Of postfix gebruiken......
Hoezo vanavond?
1219 ? S 0:12 sendmail: accepting connections
Kwestie van een goede buildfarm en unattended upgrades.
Gevaarlijk lek omdat er geen userinteractie noodzakelijk is voor een exploit en omdat er zoveel servers met deze software werken.
Ik neem aan dat de meeste grote sendmail servers wel een behoorlijk beheer kennen en al gepatched zijn of dat zeer snel worden.
Als er een bijvoorbeeld een grote ISP mailserver wordt gehackt via dit lek dan zou dat voor die ISP echt een ramp kunnen zijn.
Tju en nu net als ik morgen vrij ben, dat wordt dus weer wat later vanavond.
Maar ja updaten dan maar.
Reageer
Preview