URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 14028
[ Назад ]

Исходное сообщение
"OpenNews: Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во FreeBSD."
Отправлено opennews , 23-Мрт-06 23:19

В sendmail версии младше 8.13.6 обнаружена (http://www.sendmail.com/company/advisory/) опасная уязвимость, позволяющая злоумышленнику, при определенных обстоятельствах, удаленно запустить свой код на атакуемой системе, и получить привилегии с которыми выполняется процесс sendmail  (если sendmail запущен под root, атакующий получит полный доступ к системе).

В экстренном порядке выпущен релиз 8.13.6 (http://www.sendmail.org/8.13.6.html), содержащий исправление.

Для FreeBSD вышли три новых отчета о проблемах безопасности (проблемам подвержены FreeBSD 4.x, 5.x и 6.x):
-  "Race condition in sendmail (http://www.opennet.me/base/bsd/1143049093_2975.txt.html)";
-  "OPIE arbitrary password change (http://www.opennet.me/base/bsd/1143049093_2976.txt.html)" -  при использовании Opie (а он включен по умолчанию), непривилегированный пользователь может сгенерировать одноразовый пароль  для входа под root. Для решения проблемы нужно удалить упоминание opie в /etc/pam.d или /etc/pam.conf или убрать suid бит с /usr/bin/opiepasswd.
-  "IPsec replay attack vulnerability (http://www.opennet.me/base/bsd/1143049093_2977.txt.html)" - атакующий может генерировать ответы на перехваченные IPSec пакеты;

В Linux ядрах младше 2.6.16, найдены (http://secunia.com/advisories/19330/) две проблемы: возможность перезаписи блоков памяти в области ядра (переполнение в функции do_replace() в Netfilter (http://www.securityfocus.com/bid/17178)) и вызов некорректного распределения памяти ядром.
Кроме того недавно отмечены проблемы:
-  Linux Kernel Local Denial of Service and Information Disclosure (http://secunia.com/advisories/19083/) (исправлено в 2.6.15.5);
-  Linux Kernel "die_if_kernel()" Potential Denial of Service (http://secunia.com/advisories/19078/) (исправлено в 2.6.15.6);
-  Linux Kernel ICMP Error Handling Denial of Service (http://secunia.com/advisories/18766/) (исправлено в 2.6.15.3);
-  Linux Kernel Information Disclosure and Denial of Service (http://secunia.com/advisories/18487/) (исправлено в 2.6.15.2);
-  Linux Kernel Multiple Denial of Service Vulnerabilities (http://secunia.com/advisories/18482/) (исправлено в 2.6.15.1);
URL: http://www.kb.cert.org/vuls/id/834865
Новость: http://www.opennet.me/opennews/art.shtml?num=7188

Содержание

Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во FreeBSD.,don_oles, 23:19 , 23-Мрт-06
- Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во...,Di_, 23:30 , 23-Мрт-06
  - Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во...,vip3r, 00:56 , 24-Мрт-06
  - Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во...,_Nick_, 05:03 , 24-Мрт-06
    - Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во...,RedEyes, 23:22 , 24-Мрт-06
      - Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во...,_Nick_, 00:01 , 25-Мрт-06
    - Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во...,Di_, 13:04 , 25-Мрт-06
- Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во...,CrazyF, 12:47 , 24-Мрт-06
  - Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во...,Alexxx, 16:41 , 24-Мрт-06
    - Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во...,RedEyes, 22:52 , 24-Мрт-06
Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во FreeBSD.,Аноним, 23:58 , 23-Мрт-06
- Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во...,PavelR, 07:08 , 24-Мрт-06
OpenNews: Удаленный запуск кода в sendmail. Проблема с Opie ...,universite, 13:02 , 24-Мрт-06
- OpenNews: Удаленный запуск кода в sendmail. Проблема с Opie ...,Alexey V Katalevich, 13:49 , 24-Мрт-06

Сообщения в этом обсуждении

"Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во FreeBSD."
Отправлено don_oles , 23-Мрт-06 23:19

На заметку тем, кому нужно настроить мейлер, но ещё не определился каким софтом пользоваться. Истино говорю вам, о sendmail забудтье как о ереси, а postfix станет вам другом и покорным слугой на долгие лета. Жизнь предназначена для удовольствия.

"Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
Отправлено Di_ , 23-Мрт-06 23:30

тогда уж не postFIX (название говорит само за себя), а qmail :D

"Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
Отправлено vip3r , 24-Мрт-06 00:56

postfix не от сочетания слов "исправить" и "поcле", а "исправить" и "почта".

"Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
Отправлено _Nick_ , 24-Мрт-06 05:03

товарисч, а сколько месяцев у тебя займет норисавать на твоем кумыле, например, такую простую весч:
при переходе определенного рубежа мыл в единицу времени с домена вводить пропорциональную задержку в доставке, временный отказ (451) или даже тихий дроп для этого домена? (набор условий и действий не ограничен)
Думаю, твой обезвоженный труп найдут через пяток дней, но результата будет ноль.
На человеческом мыльнике (постфикс входит в этот список) - это пара часов работы.

"Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
Отправлено RedEyes , 24-Мрт-06 23:22

> Думаю, твой обезвоженный труп найдут
есть только одна истина и одна книга
кто мнит иначе, нечестивец есмъ.

"Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
Отправлено _Nick_ , 25-Мрт-06 00:01

>> Думаю, твой обезвоженный труп найдут
>
> есть только одна истина и одна книга
> кто мнит иначе, нечестивец есмъ.
истинно глаголишЪ, сын мой.
да не возъюзай лажу, ибо воздасцо тебе за помыслы йуховые....
и не введи нас в маздай жгучий, но пропатч нас от глюкавого...

"Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
Отправлено Di_ , 25-Мрт-06 13:04

Пишешь небольшой обработчик на перле и цепляешь его к qmail, по тому же принципу что и clamav, например....
Может в постфиксе это и стандартная фича, но при большом желании можно сделать все ;)

"Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
Отправлено CrazyF , 24-Мрт-06 12:47

На 4-х серверах замена заняла
1) Время на скачку дистрибутива (5 минут)
2) Время на rebuild sendmail (меньше минуты)
3) Время на рестарт sendmail
Итого временных затрат 6 минут
Не стоит устанавливать всякую фигню типа postfix и тем паче qmail потому что Вам это посоветовал знакомый красноглазый пионер..... ;)

"Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
Отправлено Alexxx , 24-Мрт-06 16:41

Смею заметить, что это далеко не первая дыра в сендмыле. И есть вероятность, что дыру злоумышленники найдут раньше, чем выйдет фикс. И фанатично доверять потенциально дырявому ПО, мягко говоря, непрофессионально. А уж называть "фигней" системы по всем параметрам превосходящими латанный-перелатанный (но все равно дырявый) sandmail, непростительно для серьёзного специалиста (ВЫ же не причисляете себя к "знакомым красноглазым пионерам").

"Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
Отправлено RedEyes , 24-Мрт-06 22:52

>Смею заметить, что это далеко не первая дыра в сендмыле.
в sendmail дыры находят и исправляют.
понимаете разницу?

"Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во FreeBSD."
Отправлено Аноним , 23-Мрт-06 23:58

"В sendmail версии младше 8.13.6" не опечатка ли?

"Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во..."
Отправлено PavelR , 24-Мрт-06 07:08

какая опечатка ?

"OpenNews: Удаленный запуск кода в sendmail. Проблема с Opie ..."
Отправлено universite , 24-Мрт-06 13:02

> убрать suid бит с /usr/bin/opiepasswd.
Это как?

"OpenNews: Удаленный запуск кода в sendmail. Проблема с Opie ..."
Отправлено Alexey V Katalevich , 24-Мрт-06 13:49

Remove the setuid bit from opiepasswd:
# chflags noschg /usr/bin/opiepasswd
# chmod 555 /usr/bin/opiepasswd
# chflags schg /usr/bin/opiepasswd