Удаленный запуск кода в sendmail. Проблема с Opie и IPSec во FreeBSD.

23.03.2006 09:57

В sendmail версии младше 8.13.6 обнаружена опасная уязвимость, позволяющая злоумышленнику, при определенных обстоятельствах, удаленно запустить свой код на атакуемой системе, и получить привилегии с которыми выполняется процесс sendmail (если sendmail запущен под root, атакующий получит полный доступ к системе).

В экстренном порядке выпущен релиз 8.13.6, содержащий исправление.

Для FreeBSD вышли три новых отчета о проблемах безопасности (проблемам подвержены FreeBSD 4.x, 5.x и 6.x):

"Race condition in sendmail";

"OPIE arbitrary password change" - при использовании Opie (а он включен по умолчанию), непривилегированный пользователь может сгенерировать одноразовый пароль для входа под root. Для решения проблемы нужно удалить упоминание opie в /etc/pam.d или /etc/pam.conf или убрать suid бит с /usr/bin/opiepasswd.

"IPsec replay attack vulnerability" - атакующий может генерировать ответы на перехваченные IPSec пакеты;

В Linux ядрах младше 2.6.16, найдены две проблемы: возможность перезаписи блоков памяти в области ядра (переполнение в функции do_replace() в Netfilter) и вызов некорректного распределения памяти ядром.

Кроме того недавно отмечены проблемы:

Linux Kernel Local Denial of Service and Information Disclosure (исправлено в 2.6.15.5);

Linux Kernel "die_if_kernel()" Potential Denial of Service (исправлено в 2.6.15.6);

Linux Kernel ICMP Error Handling Denial of Service (исправлено в 2.6.15.3);

Linux Kernel Information Disclosure and Denial of Service (исправлено в 2.6.15.2);

Linux Kernel Multiple Denial of Service Vulnerabilities (исправлено в 2.6.15.1);

исправить +/–

Главная ссылка к новости (http://www.kb.cert.org/vuls/id...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/7188-security

Ключевые слова: security, sendmail, opie, dos, linux, freebsd

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (14)

1.1, don_oles (??), 23:19, 23/03/2006 [ответить] [﹢﹢﹢] [ · · · ]	+/–
На заметку тем, кому нужно настроить мейлер, но ещё не определился каким софтом пользоваться. Истино говорю вам, о sendmail забудтье как о ереси, а postfix станет вам другом и покорным слугой на долгие лета. Жизнь предназначена для удовольствия.

2.2, Di_ (?), 23:30, 23/03/2006 [^] [^^] [^^^] [ответить]	+/–
тогда уж не postFIX (название говорит само за себя), а qmail :D

3.4, vip3r (?), 00:56, 24/03/2006 [^] [^^] [^^^] [ответить]	+/–
postfix не от сочетания слов "исправить" и "поcле", а "исправить" и "почта".

3.5, _Nick_ (ok), 05:03, 24/03/2006 [^] [^^] [^^^] [ответить]	+/–
товарисч, а сколько месяцев у тебя займет норисавать на твоем кумыле, например, такую простую весч: при переходе определенного рубежа мыл в единицу времени с домена вводить пропорциональную задержку в доставке, временный отказ (451) или даже тихий дроп для этого домена? (набор условий и действий не ограничен) Думаю, твой обезвоженный труп найдут через пяток дней, но результата будет ноль. На человеческом мыльнике (постфикс входит в этот список) - это пара часов работы.

4.13, RedEyes (?), 23:22, 24/03/2006 [^] [^^] [^^^] [ответить]	+/–
> Думаю, твой обезвоженный труп найдут есть только одна истина и одна книга кто мнит иначе, нечестивец есмъ.

5.14, _Nick_ (??), 00:01, 25/03/2006 [^] [^^] [^^^] [ответить]	+/–
>> Думаю, твой обезвоженный труп найдут > > есть только одна истина и одна книга > кто мнит иначе, нечестивец есмъ. истинно глаголишЪ, сын мой. да не возъюзай лажу, ибо воздасцо тебе за помыслы йуховые.... и не введи нас в маздай жгучий, но пропатч нас от глюкавого...

4.15, Di_ (?), 13:04, 25/03/2006 [^] [^^] [^^^] [ответить]	+/–
Пишешь небольшой обработчик на перле и цепляешь его к qmail, по тому же принципу что и clamav, например.... Может в постфиксе это и стандартная фича, но при большом желании можно сделать все ;)

2.7, CrazyF (?), 12:47, 24/03/2006 [^] [^^] [^^^] [ответить]	+/–
На 4-х серверах замена заняла 1) Время на скачку дистрибутива (5 минут) 2) Время на rebuild sendmail (меньше минуты) 3) Время на рестарт sendmail Итого временных затрат 6 минут Не стоит устанавливать всякую фигню типа postfix и тем паче qmail потому что Вам это посоветовал знакомый красноглазый пионер..... ;)

3.10, Alexxx (??), 16:41, 24/03/2006 [^] [^^] [^^^] [ответить]	+/–
Смею заметить, что это далеко не первая дыра в сендмыле. И есть вероятность, что дыру злоумышленники найдут раньше, чем выйдет фикс. И фанатично доверять потенциально дырявому ПО, мягко говоря, непрофессионально. А уж называть "фигней" системы по всем параметрам превосходящими латанный-перелатанный (но все равно дырявый) sandmail, непростительно для серьёзного специалиста (ВЫ же не причисляете себя к "знакомым красноглазым пионерам").

4.12, RedEyes (?), 22:52, 24/03/2006 [^] [^^] [^^^] [ответить]	+/–
>Смею заметить, что это далеко не первая дыра в сендмыле. в sendmail дыры находят и исправляют. понимаете разницу?

1.3, Аноним (-), 23:58, 23/03/2006 [ответить] [﹢﹢﹢] [ · · · ]	+/–
"В sendmail версии младше 8.13.6" не опечатка ли?

2.6, PavelR (??), 07:08, 24/03/2006 [^] [^^] [^^^] [ответить]	+/–
какая опечатка ?

1.8, universite (ok), 13:02, 24/03/2006 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> убрать suid бит с /usr/bin/opiepasswd.

Это как?

2.9, Alexey V Katalevich (?), 13:49, 24/03/2006 [^] [^^] [^^^] [ответить]	+/–
Remove the setuid bit from opiepasswd: # chflags noschg /usr/bin/opiepasswd # chmod 555 /usr/bin/opiepasswd # chflags schg /usr/bin/opiepasswd

игнорирование участников | лог модерирования

Добавить комментарий

Текст: