Sécurité : Faille de sécurité importante dans Sendmail
Posté par med (page perso, ). Modéré le 03 mars 2003.
NdM: Encore un buffer overflow dans Sendmail. La protection contre l'exécution de la pile semble être inefficace ici. Pas encore d'infos sur l'efficacité de StackGuard/ProPolice vis à vis de cette faille (en fait, il n'y a pas encore d'exploit pour tester si ProPolice fonctionne ou pas dans ce cas). RedHat et OpenBSD semblent être les premiers à avoir livré des patchs pour leurs systèmes respectifs.
N'hésitez pas à poster en commentaire les URIs vers les patchs de votre système/distribution favorite !
![[en]](../images/en.png)
La dernière version de Sendmail (728 hits)-
Annonce sur le site d'ISS (605 hits)
-
Liste des correctifs pour Red Hat (491 hits)
-
Correctif pour OpenBSD (358 hits)
> Lire la dépêche (142 commentaires, moyenne: 3,5).
Vous avez demandé le commentaire #179259.
Run by 
Cette page a été générée par Templeet en 0.0654s (dont 0.0078 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Re: Faille de sécurité importante dans Sendmail
> NdM: Encore un buffer overflow dans Sendmail.
C'est les programmes les plus utilisés qui sont le plus audité. Et c'est les programme les plus complexe/puissant qui sont le plus sujet au trou de sécurité. Rien de nouveau.
Sinon, faut pas psychoter, d'après redhat, la faille est difficile à exploiter. Mais c'est pas une raison pour trainer :-)
[^]Re: Faille de sécurité importante dans Sendmail
Ouai. Encore un argument facile pour se protéger des critiques portant sur une conception déplorable. Comme le disais ce cher pappy dans une autre news, la sécurité doit être au centre de la conception, pas rajoutée après. A mort sendmail (et bind aussi, d'ailleurs).
[^]Re: Faille de sécurité importante dans Sendmail
Pour Sendmail, c'est facile, y'a Postfix (voire exim ou qmail), mais pour Bind ? Maradns est sympa, mais y'avait des petits bugs vraiment chiants dans la résolution récursive quand je l'ai testé y'a qqs mois, peut-etre corrigés. Mais sinon ? Quelles alternatives ?
[^]Re: Faille de sécurité importante dans Sendmail
Je dirais PowerDNS [http://powerdns.com/(...)] ou MyDNS [http://mydns.bboy.net/(...)] pour la résolution autoritaire, et peut-être [http://home.t-online.de/home/Moestl/(...)] pour la résolution récursive (d'après les gourous, il vaut mieux séparer les deux). Tu peux aussi aller voir la page de DJ « mon égo est plus gros que le votre » Bernstein qui en cite plusieurs autres, en mettant bien l'accent sur tous les bugs de BIND [http://cr.yp.to/djbdns/other.html(...)]. Je n'ai pas essayé ses logiciels (djbdns, dnscache, etc.) parce que la licence m'ennuie, mais sinon ils ont plutôt bonne réputation...
Ce message vous a été présenté par les trollomètres de compétition Prumpleffer™
[^]Re: Faille de sécurité importante dans Sendmail
Quelles alternatives ? [ à Bind ]
Peut-être DjbDNS, un serveur DNS fait par Daniel Bernstein (auteur de QMail), donc sans doute très sûr. Mais je crois qu'il ne fait pas tout ce que fait Bind.
[^]Re: Faille de sécurité importante dans Sendmail
> Mais sinon ? Quelles alternatives ?
L'alternative pour l'alternative...
La première question est pourquoi prendre quelque chose d'alternatif. Si c'est pour des raisons de sécurité, bind est fort correcte ses dernières années et comme le dit matiasf plus haut, meilleur que beaucoup d'autres projets. Si c'est pour d'autres raisons... pourquoi pas.
[^]Re: Faille de sécurité importante dans Sendmail
Contrairement à Sendmail, Bind est toujours chrootable et peut meme etre lance sous un autre utilisateur que root...
S'il sagit des raisons invoquées pour le passage de Sendmail à Postfix/QMail/Exim/whatever, alors la comparaison ne tient pas énormément pour Bind: le projet évolue ! Preuve en est qu'un support des SGBDR et LDAP est en cours de développement et qu'il dispose de fonctionnalités assez pratiques qui manquent chez ses concurrents. Quant au load-balancing, l'ISC conseille lbnamed, un démon écrit spécialement pour l'usage en Perl...
[^]Re: Faille de sécurité importante dans Sendmail
Ma comparaison tenait plus de la provocation. Ceci étant, il y a quand même de choses troublantes dans bind. Par exemple, l'architecture aurait été totalement changée entre la version 4.x et la version 8.x (puis 9), pour des raisons de sécurité. Or, certains bugs de sécurité de 8.x se retrouvent (avec les mêmes erreurs de conception) dans 4.x (je n'ai pas les exemples en tête, je ne fais que répéter des rants de bernstein). Je suis d'ailleurs d'accord avec toi sur les fonctionnalités, bind en supporte énormément qui n'existent pas dans les alternatives...
[^]Re: Faille de sécurité importante dans Sendmail
d'après redhat, la faille est difficile à exploiter
c'est marrant dans l' annonce de redhat sur bugtrack il n'y a rien de tel,
et meme pire, redhat annonce qu'il y a un "proof of concept" mais qu'il
n'a pas été diffusé ...
bref exactement l'inverse de ce qui est écrit dans ton post ?!?
[^]Re: Faille de sécurité importante dans Sendmail
http://www.redhat.com/support/alerts/sendmail_vulnerability.html(...)
- "We are told that exploiting this problem is particularly difficult, but it is theoretically possible."
[^]Re: Faille de sécurité importante dans Sendmail
Explication trouvé sur lwn.net :
http://lwn.net/Articles/24292/(...)
Pas facile à exploiter...