Voragine in Sendmail, milioni i server a rischio

Oltre la metÓ dei mailserver al mondo potrebbe essere vulnerabile ad una grave falla di sicurezza che interessa Sendmail, un dei pi¨ noti e anziani software open source. Gli esperti di sicurezza sollecitano l'applicazione della patch

Roma - Una grave falla che colpisce il pi¨ diffuso Mail Transfer Agent (MTA) al mondo, Sendmail, ha fatto scattare l'allarme rosso in Internet. Il popolare mailserver open source gestisce, secondo alcune stime, fra il 50% e il 75% di tutto il traffico e-mail che passa attraverso la Rete, numeri che fanno ben comprendere l'urgenza con cui esperti di sicurezza e autoritÓ governative stanno sollecitando le aziende ad aggiornare quanto prima i propri server.

La falla, scoperta alla fine di dicembre dalla societÓ di sicurezza Internet Security Systems (ISS), potrebbe essere sfruttata da un aggressore per guadagnare i privilegi del demone di Sendmail, tipicamente quelli di utente "root". Il problema interessa tutte le versioni di Sendmail, incluse quelle commerciali (Pro), precedenti alla versione 8.12.8.

Il Sendmail Consortium ha rilasciato una nuova versione di Sendmail e una serie di patch che pongono fine al problema. Nella giornata di ieri sono stati rilasciati fix di sicurezza anche da tutti i vendor che commercializzano prodotti contenenti Sendmail, fra cui i maggiori distributori di Linux, Apple, HP, IBM, Sun e Cisco.
ISS spiega nel proprio advisory di sicurezza che il bug, un buffer overflow, Ŕ particolarmente grave per il fatto di poter essere sfruttato attraverso l'invio di un semplice messaggio di e-mail contenente un'intestazione troppo lunga.

"L'aggressore - spiega ISS - non necessita di alcuna specifica conoscenza del bersaglio per lanciare con successo un attacco".

╚ per questo motivo che gli esperti di sicurezza temono l'arrivo - potrebbe trattarsi di settimane come di pochi giorni - di un worm in grado di sfruttare la vulnerabilitÓ per diffondersi automaticamente da un mailserver all'altro.

"Se gli amministratori di sistema non si affretteranno ad aggiornare i propri server - ha detto un esperto del CERT - questo ipotetico worm potrebbe avere una diffusione persino superiore a quella di flagelli come Code Red o SQL Slammer".

La pericolositÓ di un worm simile sta nel fatto che, una volta penetrato sul sistema, potrebbe installare backdoor e cavalli di Troia utilizzabili da cracker per lanciare imponenti attacchi di tipo distributed denial of service (DDoS).

Chris Rouland, esperto di sicurezza di IIS, ha spiegato che se un singolo attacco pu˛ mettere fuori uso un mailserver, o intasare di messaggi una rete locale, un gran numero di questi attacchi potrebbe inondare Internet di milioni di e-mail e causare un rallentamento globale della Rete simile, se non peggiore, a quello causato di recente da SQL Slammer.

Dopo aver scoperto la falla, ISS sostiene di aver immediatamente allertato il Department of Homeland Security (DoHS), l'organo governativo americano che di recente ha assorbito il National Infrastructure Protection Center dell'FBI e che, d'ora in avanti, avrÓ il compito di prevenire e gestire tutte le minacce informatiche. Il DoHS, che adotta una policy di tipo non-disclosure, ha impedito che la vulnerabilitÓ divenisse di dominio pubblico comunicandone l'esistenza solo ad un selezionato numero di aziende. Una politica, questa, che se da tempo viene fortemente criticata dalla comunitÓ open source - la quale, come noto, Ŕ invece a favore del full-disclosure -, negli ultimi anni ha trovato un appoggio sempre pi¨ ampio da parte dell'industria e del Governo USA.

Di seguito Ŕ possibile leggere un commento/approfondimento sulla vulnerabilitÓ scritto da Alessandro Franceschi, responsabile di Openskills.info.

Aggiornamento (ore 11,00). Un gruppo di hacker polacchi, noto con il nome di Last Stage of Delirium (LSD) ha sviluppato, in meno di 24 ore dall'annuncio della vulnerabilitÓ di Sendmail, un exploit che Ŕ in grado di sfruttare la falla e consentire a chiunque di eseguire comandi arbitrari sul server vittima.

Al momento il tool funziona soltanto con le distribuzioni Linux di Red Hat e Slackware, ma gli esperti sostengono che il codice pu˛ essere facilmente adattato per colpire altre piattaforme Unix-like.

A questo punto, secondo alcuni esperti di sicurezza, potrebbe davvero essere questione di ore l'arrivo di un worm che sfrutti il codice scritto da LSD.
148 Commenti alla Notizia Voragine in Sendmail, milioni i server a rischio
Ordina
  • Non ho mai usato SendMail. E ora dico PER FORTUNA, dopo questo e altri exploit.
    Sono sempre stato convinto che il software open non puo' per sua natura essere più sicuro di quello chiuso.
    E questo caso, dimostra proprio quanto dico.
    Con chi se la prenderanno i dirigenti delle societa' danneggiate da questo? Chi chiameranno per rimettere tutto a posto entro la mattina dopo?
    La comunita' Open ?

    Come volevasi dimostrare.
    non+autenticato


  • > societa' danneggiate da questo? Chi
    > chiameranno per rimettere tutto a posto
    > entro la mattina dopo?
    > La comunita' Open ?
    >

    Pensi forse che la software house che ti vende il software chiuso ti rimettera' tutto a posto entro la mattina dopo ?
    Hai mai letto almeno uno dei contratti di licenza di un software closed? Nessuno si prende responsabilita' per i malfunzionamenti del software ( This software is provided "AS IS") ....
    Continua a versare soldi nelle casse di chi non ti garantisce un bel niente.... Bella sicurezza

    ACD
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Hai mai letto almeno uno dei contratti di
    > licenza di un software closed? Nessuno si
    > prende responsabilita' per i
    > malfunzionamenti del software ( This
    > software is provided "AS IS") ....

    Nelle aziende non ci sono degli ingenui. Certi uffici acquisti probabilmente non sanno distinguere il norton commander da autocad, ma sanno benissimo che comprano una SOLUZIONE HW+SW da TE che legalmente garantisci per il funzionamento e l'assistenza di tutto l'assieme, senza troppi se e ma. Se ne fottono delle sottigliezze di licenza per cui tu puoi rivalerti lungo tutta la filiera di distribuzione, se non onori il contratto d'assistenza sei tu l'inadempiente e intanto paghi. Nessuno si farebbe fregare da una astrusa licenza su uno speciale lubrificante dentro una macchina utensile da due miliardi, e lo stesso vale per il software. Si chiama responsabilità oggettiva della fornitura, ci sono volumi di carta in merito e da un bel pezzo prima che fosse pronunciata per la prima volta la parola "software".

    Inoltre, closed o non closed, tutto il software scritto ad hoc su analisi specifica è garantito per l'aderenza alle specifiche PER LEGGE, secondo la tipologia contrattuale della realizzazione su richiesta che impegna fornitore e cliente, che si tratti di scarpe, pezzi di ferro o byte non cambia niente.
    L'unica eccezione è il discorso per gli applicativi "di larga diffusione", scritti su un'analisi commissionata al settore marketing (o senza analisi, è spesso il caso dell'opensource), cioè roba da scaffale che può adattarsi, o meno, alle tue esigenze specifiche. Di nuovo, la questione è irrilevante: il manutentore ha la responsabilità contrattuale di tutto l'ambaradan, a prescindere dalla licenza software che nasce giustamente per tutelare IL PRODUTTORE, non l'installatore o il distributore. Il cazziatone te lo prendi te, anche se la patch non è pronta (al cliente non gliene può fregare di meno).

    Tra parentesi, la piccola softwarehouse si può anche impegnare a garantire ogni riga che scrive, ma per i framework, le librerie, i componenti commerciali che inevitabilmente utilizza, può solo confidare nella solidità del suo subfornitore (e spesso nell'acquisto dei relativi codici sorgenti, non l'ha inventato Stallman vivaddio).

    Qui emerge un grosso intoppo dell'opensource invece: non credo proprio che una SWH di quattro gatti si possa impegnare a garantire, oltre alle proprie 5.000 righe di AWK, perl e C per la personalizzazione del sistema, anche i sette CD di una SuSE o RH (e lì va ancora bene, perché dietro c'è "in qualche modo" un distributore) o di myfuckindistro scaricata da www.russianorgiesandwarez.ru
    non+autenticato
  • - Scritto da: Anonimo
    > Qui emerge un grosso intoppo dell'opensource
    > invece: non credo proprio che una SWH di
    > quattro gatti si possa impegnare a
    > garantire, oltre alle proprie 5.000 righe di
    > AWK, perl e C per la personalizzazione del
    > sistema, anche i sette CD di una SuSE o RH
    > (e lì va ancora bene, perché dietro c'è "in
    > qualche modo" un distributore) o di
    > myfuckindistro scaricata da
    > www.russianorgiesandwarez.ru

    Perche`, le software house di 400 gatti ce la fanno a garantire anche tutto l'inutilmente mastodontico, complessato, collassato oltre ogni misura, straccio di sistema operativo Win-like?

    E poi e` inevitabile usare librerie commerciali? In teoria e` molto probabile, ma non per me, a essere sinceri; sono un caso raro... ma potrei essere fra i primi, chissa` in un futuro se intenzionalmente re-involvendoci ritroveremo quella certezza che 2+2, anche in un programma a finestrelle e bottoncini colorati, fa sempre 4? Rimango e permango della mia opinione: open o closed fa poca differenza, il problema e` che le linee di sorgente sono un po' troppine, il 90% delle quali non necessarie, e derivanti dalla costruzione di applicativi a taglia e incolla, usando librerie altrui basate su librerie altrui basate su SDK altrui eccetera eccetera...

    insomma torniamo indietro, per favore, prima che scoppi tutto...
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > Hai mai letto almeno uno dei contratti di
    > > licenza di un software closed? Nessuno si
    > > prende responsabilita' per i
    > > malfunzionamenti del software ( This
    > > software is provided "AS IS") ....
    >
    > Nelle aziende non ci sono degli ingenui.
    > Certi uffici acquisti probabilmente non
    > sanno distinguere il norton commander da
    > autocad, ma sanno benissimo che comprano una
    > SOLUZIONE HW+SW da TE che legalmente
    > garantisci per il funzionamento e
    > l'assistenza di tutto l'assieme, senza
    > troppi se e ma. Se ne fottono delle
    > sottigliezze di licenza per cui tu puoi
    > rivalerti lungo tutta la filiera di
    > distribuzione, se non onori il contratto
    > d'assistenza sei tu l'inadempiente e intanto
    > paghi.

    non conosco precedenti di condanna per quello che tu dici. Ne sai citare qualcuno?


    > Nessuno si farebbe fregare da una
    > astrusa licenza su uno speciale lubrificante
    > dentro una macchina utensile da due
    > miliardi, e lo stesso vale per il software.

    Questo vale per tutto tranne che per il software.

    un esempio: esiste il RITIRO dei prodotti FISICI, ma non ho mai sentito di ritiro di prodotti software (e ce ne sarebbe stato il bisogno, in certi casi).
    La licenza software copre i produttori molto più di quanto credi, tanto da garantire ricchezze da nababbi ai vertici di certe aziende.

    > Si chiama responsabilità oggettiva della
    > fornitura, ci sono volumi di carta in merito
    > e da un bel pezzo prima che fosse
    > pronunciata per la prima volta la parola
    > "software".

    Per contro, a fronte dei "volumi di carta che citi". non risulta alcunchè di significativo nel mondo del software.
    Gates sarebbe in prigione da un pezzo, se non fosse così.

    Invece è in una botte di ferro: le sue EULAs sono mitiche ormai

    > Inoltre, closed o non closed, tutto il
    > software scritto ad hoc su analisi specifica
    > è garantito per l'aderenza alle specifiche
    > PER LEGGE, secondo la tipologia contrattuale
    > della realizzazione su richiesta che impegna
    > fornitore e cliente, che si tratti di
    > scarpe, pezzi di ferro o byte non cambia
    > niente.

    non è questo il caso di Sendmail

    > L'unica eccezione è il discorso per gli
    > applicativi "di larga diffusione", scritti
    ...
    > Di nuovo, la questione è
    > irrilevante:

    Però, finora non risulta che quanto dici sia stato utilizzato in aula di tribunale e abbia portato a un risultato positivo per il danneggiato di un software.

    Poichè Microsoft o SendMail Inc. pari sono (almeno dal punto di vista della responsabilità precisata in base alla licenza) , mi tengo SendMail (che non mi costa nulla) e lo rattoppo (cosa possibile SUBITO per come funziona l'Open Source).

    Le tue considerazioni legali sono molto interessanti e accattivanti, ma teoriche; finché non vedrò fioccare fior di condanne per danni alla Microsoft (esposta com'è), le tue argomentazioni non sono sufficienti a spostare l'ago della bilancia a favore dell'utente.

    Magari fosse così.



    non+autenticato
  • si vede che sei un intenditore di come funziona il modo Open.
    continua cosi che Bill &C ti ringraziera
    non+autenticato

  • > Con chi se la prenderanno i dirigenti delle
    > societa' danneggiate da questo?

    E' già... il vero problema, in fondo, è riuscire a scaricare il barile...
    non+autenticato

  • - Scritto da: Anonimo
    > Non ho mai usato SendMail. E ora dico PER
    > FORTUNA, dopo questo e altri exploit.


    Da quanto usi internette ?
    Se da piu' di due anni e usi la EMEIL e' quasi matematicamente impossibile che un tuo messaggio non sia passato in un server SENDMAIL


    SENDMAIL e' stata una delle colonne portanti di internet per
    MOLTI .....LUUUNGHISSIMI ....ANNI....

    OGGI ci sono numerose valide alternative
    comunque un minimo di ..........

    GRATITUDINE quel programma lo merita !!!!!
    non+autenticato
  • Per chi utilizza Slack: fin da subito (il giorno stesso dell'annuncio del bug: il 3 marzo) è stata resa disponibile la versione patchata del .tgz per slack.
    Per chi ancora non l'avesse aggiornata ecco il link:
    .
    non+autenticato
  • SendMail non e' Linux, e' solo un software sviluppato per questo S.O. !
    non+autenticato

  • - Scritto da: Anonimo
    > SendMail non e' Linux, e' solo un software
    > sviluppato per questo S.O. !

    Con tutto il rispetto, anche tu non hai capito granché Sorride
    SendMail esiste da secoli prima di Linux, e non è minimamente
    ad esso legato.
    non+autenticato
  • Come mai proprio ora vengono fuori sti grandi bug vedi SQL Slammer e questo.
    Forse per avere un arma in più dalla loro parte cioè Bug freschifreschi.

    M la guerra
    non+autenticato
  • Scusate Starno sta per Strano


    - Scritto da: Anonimo
    > Come mai proprio ora vengono fuori sti
    > grandi bug vedi SQL Slammer e questo.
    > Forse per avere un arma in più dalla loro
    > parte cioè Bug freschifreschi.
    >
    > M la guerra
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | Successiva
(pagina 1/6 - 27 discussioni)