форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Удаленный запуск кода в sendmail. Проблема с Opie ..."

Сообщение от opennews (??) on 23-Мрт-06, 23:19

В sendmail версии младше 8.13.6 обнаружена (http://www.sendmail.com/company/advisory/) опасная уязвимость, позволяющая злоумышленнику, при определенных обстоятельствах, удаленно запустить свой код на атакуемой системе, и получить привилегии с которыми выполняется процесс sendmail  (если sendmail запущен под root, атакующий получит полный доступ к системе). В экстренном порядке выпущен релиз 8.13.6 (http://www.sendmail.org/8.13.6.html), содержащий исправление. Для FreeBSD вышли три новых отчета о проблемах безопасности (проблемам подвержены FreeBSD 4.x, 5.x и 6.x): -  "Race condition in sendmail (http://www.opennet.dev/base/bsd/1143049093_2975.txt.html)"; -  "OPIE arbitrary password change (http://www.opennet.dev/base/bsd/1143049093_2976.txt.html)" -  при использовании Opie (а он включен по умолчанию), непривилегированный пользователь может сгенерировать одноразовый пароль  для входа под root. Для решения проблемы нужно удалить упоминание opie в /etc/pam.d или /etc/pam.conf или убрать suid бит с /usr/bin/opiepasswd. -  "IPsec replay attack vulnerability (http://www.opennet.dev/base/bsd/1143049093_2977.txt.html)" - атакующий может генерировать ответы на перехваченные IPSec пакеты; В Linux ядрах младше 2.6.16, найдены (http://secunia.com/advisories/19330/) две проблемы: возможность перезаписи блоков памяти в области ядра (переполнение в функции do_replace() в Netfilter (http://www.securityfocus.com/bid/17178)) и вызов некорректного распределения памяти ядром. Кроме того недавно отмечены проблемы: -  Linux Kernel Local Denial of Service and Information Disclosure (http://secunia.com/advisories/19083/) (исправлено в 2.6.15.5); -  Linux Kernel "die_if_kernel()" Potential Denial of Service (http://secunia.com/advisories/19078/) (исправлено в 2.6.15.6); -  Linux Kernel ICMP Error Handling Denial of Service (http://secunia.com/advisories/18766/) (исправлено в 2.6.15.3); -  Linux Kernel Information Disclosure and Denial of Service (http://secunia.com/advisories/18487/) (исправлено в 2.6.15.2); -  Linux Kernel Multiple Denial of Service Vulnerabilities (http://secunia.com/advisories/18482/) (исправлено в 2.6.15.1); URL: http://www.kb.cert.org/vuls/id/834865 Новость: http://www.opennet.dev/opennews/art.shtml?num=7188

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."

Сообщение от don_oles (??) on 23-Мрт-06, 23:19

На заметку тем, кому нужно настроить мейлер, но ещё не определился каким софтом пользоваться. Истино говорю вам, о sendmail забудтье как о ереси, а postfix станет вам другом и покорным слугой на долгие лета. Жизнь предназначена для удовольствия.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	2. "Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
	Сообщение от Di_ on 23-Мрт-06, 23:30
	тогда уж не postFIX (название говорит само за себя), а qmail :D
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	4. "Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
	Сообщение от vip3r on 24-Мрт-06, 00:56
	postfix не от сочетания слов "исправить" и "поcле", а "исправить" и "почта".
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	5. "Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
	Сообщение от _Nick_ (ok) on 24-Мрт-06, 05:03
	товарисч, а сколько месяцев у тебя займет норисавать на твоем кумыле, например, такую простую весч: при переходе определенного рубежа мыл в единицу времени с домена вводить пропорциональную задержку в доставке, временный отказ (451) или даже тихий дроп для этого домена? (набор условий и действий не ограничен) Думаю, твой обезвоженный труп найдут через пяток дней, но результата будет ноль. На человеческом мыльнике (постфикс входит в этот список) - это пара часов работы.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	13. "Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
	Сообщение от RedEyes on 24-Мрт-06, 23:22
	> Думаю, твой обезвоженный труп найдут есть только одна истина и одна книга кто мнит иначе, нечестивец есмъ.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	14. "Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
	Сообщение от _Nick_ (??) on 25-Мрт-06, 00:01
	>> Думаю, твой обезвоженный труп найдут > > есть только одна истина и одна книга > кто мнит иначе, нечестивец есмъ. истинно глаголишЪ, сын мой. да не возъюзай лажу, ибо воздасцо тебе за помыслы йуховые.... и не введи нас в маздай жгучий, но пропатч нас от глюкавого...
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	15. "Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
	Сообщение от Di_ on 25-Мрт-06, 13:04
	Пишешь небольшой обработчик на перле и цепляешь его к qmail, по тому же принципу что и clamav, например.... Может в постфиксе это и стандартная фича, но при большом желании можно сделать все ;)
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	7. "Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
	Сообщение от CrazyF on 24-Мрт-06, 12:47
	На 4-х серверах замена заняла 1) Время на скачку дистрибутива (5 минут) 2) Время на rebuild sendmail (меньше минуты) 3) Время на рестарт sendmail Итого временных затрат 6 минут Не стоит устанавливать всякую фигню типа postfix и тем паче qmail потому что Вам это посоветовал знакомый красноглазый пионер..... ;)
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	10. "Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
	Сообщение от Alexxx (??) on 24-Мрт-06, 16:41
	Смею заметить, что это далеко не первая дыра в сендмыле. И есть вероятность, что дыру злоумышленники найдут раньше, чем выйдет фикс. И фанатично доверять потенциально дырявому ПО, мягко говоря, непрофессионально. А уж называть "фигней" системы по всем параметрам превосходящими латанный-перелатанный (но все равно дырявый) sandmail, непростительно для серьёзного специалиста (ВЫ же не причисляете себя к "знакомым красноглазым пионерам").
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	12. "Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
	Сообщение от RedEyes on 24-Мрт-06, 22:52
	>Смею заметить, что это далеко не первая дыра в сендмыле. в sendmail дыры находят и исправляют. понимаете разницу?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."

Сообщение от Аноним on 23-Мрт-06, 23:58

"В sendmail версии младше 8.13.6" не опечатка ли?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	6. "Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
	Сообщение от PavelR (??) on 24-Мрт-06, 07:08
	какая опечатка ?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "OpenNews: Удаленный запуск кода в sendmail. Проблема с Opie ..."

Сообщение от universite (ok) on 24-Мрт-06, 13:02

> убрать suid бит с /usr/bin/opiepasswd. Это как?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	9. "OpenNews: Удаленный запуск кода в sendmail. Проблема с Opie ..."
	Сообщение от Alexey V Katalevich on 24-Мрт-06, 13:49
	Remove the setuid bit from opiepasswd: # chflags noschg /usr/bin/opiepasswd # chmod 555 /usr/bin/opiepasswd # chflags schg /usr/bin/opiepasswd
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]