Sécurité : Faille de sécurité importante dans Sendmail
Posté par med (page perso, ). Modéré le 03 mars 2003.
NdM: Encore un buffer overflow dans Sendmail. La protection contre l'exécution de la pile semble être inefficace ici. Pas encore d'infos sur l'efficacité de StackGuard/ProPolice vis à vis de cette faille (en fait, il n'y a pas encore d'exploit pour tester si ProPolice fonctionne ou pas dans ce cas). RedHat et OpenBSD semblent être les premiers à avoir livré des patchs pour leurs systèmes respectifs.
N'hésitez pas à poster en commentaire les URIs vers les patchs de votre système/distribution favorite !
![[en]](../images/en.png)
La dernière version de Sendmail (728 hits)-
Annonce sur le site d'ISS (605 hits)
-
Liste des correctifs pour Red Hat (491 hits)
-
Correctif pour OpenBSD (359 hits)
> Lire la dépêche (142 commentaires, moyenne: 3,5).
Vous avez demandé le commentaire #179167.
Run by 
Cette page a été générée par Templeet en 0.0472s (dont 0.0052 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Re: Faille de sécurité importante dans Sendmail
J'aimerais signaler un truc intéressant en marge de ce problème : ma boîte avait acheté il y a quelques éons un Sendmail-PRO (une version « améliorée » avec interface Web pour gérer le bordel) basé sur Sendmail/8.9.3 (que j'ai depuis bien longtemps remplacé par une version plus récente du Sendmail standard). Et aujourd'hui, on reçoit un e-mail de Sendmail, Inc. nous disant, en gros « houlàlà, on tient un gros problème là, faut que vous patchiez vite fait. En revanche, le produit que vous avez n'est plus supporté depuis des lustres, alors si vous voulez on vous propose une mise à jour gratos vers un de nos produits actuels, histoire que vous soyez protégés ». Et là, je dis chapeau, parce que rien ne les obligeait à faire ça. Imaginez un peu Microsoft vous disant « on a découvert un trou de sécurité qui affecte Windows NT 3.51. Comme il n'est plus supporté, on ne va pas le patcher, mais écrivez-nous et on vous enverra gratuitement une copie de Windows 2000 ». Impensable, hein ?
Bref, bravo à Sendmail, leur attitude est très bonne sur ce coup (même si je me sens un peu hypocrite d'écrire ça alors que je fais tout pour éradiquer Sendmail de mes serveurs)...
Ce message vous a été présenté par les trollomètres de compétition Prumpleffer™
[^]Re: Faille de sécurité importante dans Sendmail
> alors que je fais tout pour éradiquer Sendmail de mes serveurs
...
> alors si vous voulez on vous propose une mise à jour gratos vers un de nos produits actuels[...]
Non non, quand on remet ton texte dans l'ordre on comprend tout de suite pourquoi ils font ça :)
# sulfure has been kicked from linuxfr (trop con).
[^]Re: Faille de sécurité importante dans Sendmail
Oui, c'est vrai que c'est une attitude responsable (pour autant qu'ils n'y ait pas de nouveau trous béants dans la nouvelle version) ...
Les constructeurs automobiles font aussi des rappels de leur anciens véhicules lorsque qu'une anomalie importante a été détectée. A l'heure où l'on voudrait faire passer les pirates informatiques pour des criminels de guerre, au regard du « danger extrême » qu'ils représentent, rares sont les grands éditeurs à faire preuve d'autant de véhémence (et surtout de méa culpa) lorsqu'il s'agit de combler les failles de leurs produits.
Une fois que la news sera suffisament vieille pour que la plupart des serveurs aient été corrigés, il pourrait être intéressant de faire l'echo de ce genre d'initiative, histoire de donner l'exemple.