Date: Thu, 23 Mar 2006 09:40:01 +0100 From: Henrik Kramshoej <none@hlk--kramse.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: Sikkerhedshul i sendmail
On Thu, Mar 23, 2006 at 08:02:33AM +0100, Poul-Henning Kamp wrote:
> In message <none@20060323065315.GA94130--fj.batmule.dk.lh.bsd-dk.dk>, Flemming Jacobsen writes:
>
> >Bemærk at der er et hul i sendmail der kan tillade en angriber
> >fra nettet at eksekvere vilkårlig kode.
>
> ... men der er ingen der har "the full monty" på sagen, så det vides
> ikke helt hvad det er der foregår.
>
> Tilsyneladende noget med signaler og sendmail brugte signaler til
> at lave timeouts mv, så nu har de omskrevet hele den del med et
> mega-patch på 3000 linier.
>
> Postfix kan varmt anbefales.
>
> Life is too short for sendmail.cf
eller Sendmail generelt ...
Det havde en funktion engang og den skulle kunne en masse,
som meget få skal bruge idag - Postfix er klart nemmere enig
Pudsigt er det så at de 3000 nye linier vel så indeholder
mindst 3 nye fejl :-))
Jeg kan forøvrigt i samme omgang anbefale bogen 19 Deadly
sins of software security, ISBN: 0072260858
- den indeholder meget konkrete råd til at undgå de værste
problemer med blandt andet signal handling og så er den kun
ca 260 sider
Mvh
Henrik
-- Henrik Lund Kramshøj, cand.scient, CISSP e-mail: hlk@security6.net, tlf: 2026 6000 www.security6.net - IPv6, sikkerhed, netværk Follower of the Great Way of Unix
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:58 CET