Sendmail, nuovo allarme rosso

A meno di un mese di distanza dalla scoperta dell'ultima grave falla di sicurezza, il celebre mailserver open source si risveglia con una breccia da cui potrebbero passare cracker e worm. Nuova corsa all'applicazione della patch

Emeryville (USA) - Molto simile alla voragine di sicurezza emersa all'inizio del mese, e altrettanto pericolosa, la nuova vulnerabilità scoperta in Sendmail ha messo in allarme la comunità di esperti di sicurezza e ha spinto il team di sviluppo del più diffuso Mail Transfer Agent (MTA) al mondo a rilasciare in tutta fretta una nuova versione del proprio server.

La falla, scoperta dalla società di sicurezza Internet Security Systems (ISS), interessa tutte le versioni di Sendmail, sia freeware che Pro, e varie versioni di Sendmail Switch e Sendmail for NT.

Secondo quanto riportato da un advisory di sicurezza del CERT, il codice di Sendmail che verifica la correttezza degli indirizzi di e-mail non controlla correttamente la loro lunghezza: questo fa sì che un messaggio opportunamente creato possa causare un buffer overflow. Un aggressore potrebbe sfruttare la breccia per portare attacchi di denial of service o eseguire codice a propria scelta con gli stessi privilegi di Sendmail (tipicamente quelli di root).
La pericolosità di questa falla, secondo il CERT, risiede nel fatto che essa può essere sfruttata attraverso una semplice e-mail capace di attraversare firewall o mailserver non vulnerabili.

"Molte organizzazioni - scrive il CERT sul proprio avviso di sicurezza - hanno una certa varietà di MTA localizzati in varie parti dei propri network, con almeno uno esposto a Internet. Dato che Sendmail è il più diffuso MTA, molte organizzazioni di media e grande dimensione hanno con tutta probabilità almeno un server Sendmail vulnerabile. In aggiunta, molte workstation Unix e Linux forniscono un'implementazione di Sendmail che viene attivata e fatta girare di default".

Secondo alcune stime, Sendmail gestisce fra il 50% e il 75% di tutto il traffico e-mail che passa attraverso la Rete.

Per il momento la vulnerabilità è stata testata solo in laboratorio, ma gli esperti non escludono che entro poco tempo l'exploit possa divenire di dominio pubblico: l'ultima volta ci sono volute meno di 24 ore perché questo accadesse. In questi casi resta poi sempre molto alto il rischio che la debolezza possa essere sfruttata dai creatori di worm.

Il team di sviluppo di Sendmail sostiene di aver dovuto accelerare i tempi di rilascio di una versione corretta del proprio mailserver a causa di una e-mail pubblicata su di una mailing-list pubblica che conteneva alcune informazioni sulla vulnerabilità.

Il Sendmail Consortium raccomanda agli amministratori di sistema di scaricare quanto prima la nuova versione corretta del proprio software, la 8.12.9, o le patch per le versioni precedenti. È possibile trovare altre informazioni sul bollettino di sicurezza rilasciato da Sendmail Inc..
72 Commenti alla Notizia Sendmail, nuovo allarme rosso
Ordina
  • ...leenooz e tutto l'open sorcio e' sicuuuuro!
    Non e' vero che abbiamo i bug, sono quelli della microsoft che c eli mettono...

    Openari: fate ride.

    Micky
    non+autenticato

  • - Scritto da: Anonimo
    > ...leenooz e tutto l'open sorcio e'
    > sicuuuuro!
    > Non e' vero che abbiamo i bug, sono quelli
    > della microsoft che c eli mettono...
    >
    > Openari: fate ride.
    >
    > Micky
    Billy non ti ha ancora dato il premio "Miglior Leccapiedi" oppure "Peggior attore" ?
  • c'e' qualcuno che continua a scrivere che sendmail ha 30 anni
    niente di pu' falso
    sendmail deriva da un progetto iniziato all'incirca agli inizi degli anni '80
    credo il 79 se non sbaglio
    ed e' un evoluzione di quel software che usava NCP mentre sendmail usa TCP,quindi non e' il primo MTA della storia,
    non ha 30 anni, al massimo poco piu' di 20

    10 anni in informatica fanno una bella differenza
    anche perche' 30 anni fa la posta elettronica non esisteva e neanche le reti di elaboratori erano cosi' diffuse, visto che arpanet nasce negli anni fra il 69 e il 72

    tanto per essere precisi
    non+autenticato
  • Sendmail è un'evoluzione di Delivermail scritto da Eric Allman ed inserito (Delivermail) nella versione BSD 4.1 di Unix uscita nel 1981.
    Sendmail nasce dalla necessità di utilizzare "qualcosa" come Delivermail su reti eterogenee.
    Sendmail vede la luce fra il 1982 e il 1983.
  • > Sendmail è un'evoluzione di Delivermail
    > scritto da Eric Allman ed inserito
    > (Delivermail) nella versione BSD 4.1 di Unix
    > uscita nel 1981.
    > Sendmail nasce dalla necessità di utilizzare
    > "qualcosa" come Delivermail su reti
    > eterogenee.
    > Sendmail vede la luce fra il 1982 e il 1983.

    C.V.D.
    non+autenticato
  • i

    <-cut

    Il team di sviluppo di Sendmail sostiene di aver dovuto accelerare i tempi di rilascio di una versione corretta del proprio mailserver a causa di una e-mail pubblicata su di una mailing-list pubblica che conteneva alcune informazioni sulla vulnerabilità.

    <-cut

    ma non era prerogativa solo della MS questo modo di operare, se la mail non fosse stata postata per quanto tempo il tutto sarebbe stato nascosto .

    il bello dell'open e che predica bene ma razzola male, ha poi la storiella della disponibilita dei sorgenti, come mai il buco non è stato trovato prima, e strano avete tutto sorgenti how to ma i buchi imperano sofrani, allora tutte le cose che gli openari ci somministrano a sto punto sono solo enormi strunz......


    by
    non+autenticato

  • - Scritto da: Anonimo
    > il bello dell'open e che predica bene ma
    > razzola male,

    ah.. invece M$ è coerentissima eh?

    vai nella sezione "trova" di PI e come parole chiave inserisci "ballmer" e "linux". Poi fatti 4 risate!

  • > ah.. invece M$ è coerentissima eh?
    >
    > vai nella sezione "trova" di PI e come
    > parole chiave inserisci "ballmer" e "linux".
    > Poi fatti 4 risate!

    Cambiare idea e ammettere di aver sbagliato è simbolo di intelligenza...

    Siete solo voi sostenitori dell'open che continuate a negare l'evidenza.....

    Open Sicuro...

    Ciao
    non+autenticato
  • > il bello dell'open e che predica bene ma
    > razzola male, ha poi la storiella della
    > disponibilita dei sorgenti, come mai il buco
    > non è stato trovato prima, e strano avete
    > tutto sorgenti how to ma i buchi imperano
    > sofrani, allora tutte le cose che gli
    > openari ci somministrano a sto punto sono
    > solo enormi strunz......

    Premessa:
    Nessun software è esente da bachi.

    Divagazione:
    La mia affermazione parte dal seguente assioma: "Ogni programma contiene almeno un bug. Ogni programma può essere scritto con una instruzione in meno. All'estremo avremo un programma composto da una sola istruzione... sbagliata!"

    Approfondimento:
    Il bello dell'open è che se conosci il linguaggio usato per realizzare un software puoi metterci le mani prima che il produttore ti fornisca la pezza; oppure puoi capire i contesti di vulnerabilità ed arginarli esternamente.


    Saluti, kino
    non+autenticato

  • - Scritto da: Anonimo

    > il bello dell'open e che predica bene ma
    > razzola male, ha poi la storiella della
    > disponibilita dei sorgenti, come mai il buco
    > non è stato trovato prima, e strano avete
    > tutto sorgenti how to ma i buchi imperano
    > sofrani,

    "Sofrani" ? Be, almeno i buchi vengono corretti, ache a distanza di decenni. Non come la M$ che se ne frega degli utilizzatori di NT4.

    > allora tutte le cose che gli
    > openari ci somministrano a sto punto sono
    > solo enormi strunz......

    Pensa quello che ci propina il tuo padrone Gill Bates Sorride !
    non+autenticato

  • > Pensa quello che ci propina il tuo padrone
    > Gill Bates Sorride !


    ahahahhaahah ci propina quindi anche a te, la cosa che mi fa più inca**** in un informatico e la poca coerenza, usi Ms e la critichi, fai solo pena
    non+autenticato

  • - Scritto da: Anonimo

    > ma non era prerogativa solo della MS questo
    > modo di operare, se la mail non fosse stata
    > postata per quanto tempo il tutto sarebbe
    > stato nascosto .

    Perche' parli di cose che non conosci?
    Non hai minimamente idea di come vengono affrontati questi problemi.

    > il bello dell'open e che predica bene ma
    > razzola male, ha poi la storiella della
    > disponibilita dei sorgenti, come mai il buco
    > non è stato trovato prima, e strano avete
    > tutto sorgenti how to ma i buchi imperano
    > sofrani, allora tutte le cose che gli
    > openari ci somministrano a sto punto sono
    > solo enormi strunz......

    Ora ne ho la conferma: sei veramente ricoglionito.

    Anonymous

  • >
    > Ora ne ho la conferma: sei veramente
    > ricoglionito.
    >
    > Anonymous

    Mi piaciono questi post ... parli dall'alto verso in basso con l'idea di profetizzare ma in realtà non dici nulla...

    Il vuoto del tuo post mi fa pensare che non sai cosa dire per difendere l'ennesimo attacco (giustificato) alla filosofia OS ...

    state perdendo le vostre ferree convinzioni?
    nop
    563

  • - Scritto da: nop

    > Mi piaciono questi post ... parli dall'alto
    > verso in basso con l'idea di profetizzare ma
    > in realtà non dici nulla...

    Probabilmente ho esagerato, ma leggere sempre le stesse cose dopo un po' e' frustrante, soprattutto considerando che chi ha iniziato il thread voleva solo provocare un flame.

    > Il vuoto del tuo post mi fa pensare che non
    > sai cosa dire per difendere l'ennesimo
    > attacco (giustificato) alla filosofia OS ...
       
    Ok, rispondiamo ancora una volta.
    In sistesi:
    1. si scopre il bug
    2. si contatta in maniera privata la sotware house e le si segnala il problema
    3. si prendono gli accordi del caso:di solito si aspetta la patch oppure si fissa una scadenza (tipo 1 mese e poi mando i dettagli della vulnerabilita' su bugtraq)
    4. si rende noto il bug, si pubblica e volendo si allega un esempio di exploit preconfezionato.

    In questo caso la notizia e uscita prima (magari per merito di qualcuno in cerca di notorieta') costringendo il team di sendmail ad accelerare i tempi di rilascio della patch.

    La security by oscurity, quella che ha tirato in ballo l'anonimo di inizio thread, in particolar modo quella della microsoft, e' uguale fino al punto 3, con la differenza che le vulnerabilita' non devono essere rese note a nessuno e nessuno DEVE SAPERE che il problema esiste.
    Parole di microsoft (lette tempo fa prorpio su PI), gli amministratori devono solo applicare patch senza curarsi di cosa risolvono.

    > state perdendo le vostre ferree convinzioni?

    No, solo la pazienza con certa gente.


    Anonymous
  • > 3. si prendono gli accordi del caso:di
    > solito si aspetta la patch oppure si fissa
    > una scadenza (tipo 1 mese e poi mando i
    > dettagli della vulnerabilita' su bugtraq)
    > 4. si rende noto il bug, si pubblica e
    > volendo si allega un esempio di exploit
    > preconfezionato.

    bello
    nel frattempo, siccome non tutti sono dei robin hood, il bug e' noto a qualcuno ma non a tutti gli amministratori che potrebbero, in attesa della patch, trovare un workaround
    la FULL disclosure o e' FULL o e' solo una cazzata..
    io voglio sapere SEMPRE quale e' il problema appena qualcuno con buone intenzioni lo scopre
    e' vero che cosi' lo sapra anche il maleintenzionato, ma io potro' prendere delle contromisure
    tanto il maleintenzionato potrebbe arrivarci lo stesso
    la HALF disclosure e' quasi peggio della security by obscurity

    e' solo un modo per dire "vedete quanto siamo stati veloci a rilasciare la patch"
    e basta

    non+autenticato
  • perche' io osa ho scritto?
    Mi fai un esempio di full disclosure allora?

    Anonymous
  • distribuire i buchi su ogni architettura basta compilare.
    non+autenticato
  • a forza di paccare send mail (due anni fa per un buco la nostra macchina era diventata uno zombi in mano agli hackers), e visto che gli altri mail server se vuoi assistenza devi pagarli cari, abbiamo pialato la macchina linuz ci abbiamo messo su win2000 server ed exchange server, e son due anni che non abbiamo più problemi, inoltre con programmi appositi riusciamo a gestire la reperibilità, distribuire documenti pubblici ecc...
    non+autenticato
  • ti rispondo anche se e' evidente che vuoi solo provocare un flame (ti diverti con poco eh?)

    Paragonare exange a sendmail e' una cazzata.
    Se e' vero che sei passato da sendmail a exange capirai da solo la differenza che c'e' tra i due.

    Anonymous

  • - Scritto da: Anonymous
    > ti rispondo anche se e' evidente che vuoi
    > solo provocare un flame (ti diverti con poco
    > eh?)
    >
    > Paragonare exange a sendmail e' una cazzata.
    > Se e' vero che sei passato da sendmail a
    > exange capirai da solo la differenza che
    > c'e' tra i due.
    >
    > Anonymous


    in potenza sicuramente, exchange sta a send mail come un enorme e potente mainfraim sta al vic20.

    by
    non+autenticato

  • - Scritto da: Anonimo

    > in potenza sicuramente, exchange sta a send
    > mail come un enorme e potente mainfraim sta
    > al vic20.

    si, se consideriamo il peso, l'ingombro e lo spreco di energia il paragone puo' reggere.

  • - Scritto da: Anonimo
    > a forza di paccare send mail (due anni fa
    > per un buco la nostra macchina era diventata
    > uno zombi in mano agli hackers), e visto che
    > gli altri mail server se vuoi assistenza
    > devi pagarli cari, abbiamo pialato la
    > macchina linuz ci abbiamo messo su win2000
    > server ed exchange server,

    Noi invece abbiamo piallato Windows2K e a suo posto usiamo la Nutella. Il prossimo paso sara' sostituire l'automobile con le nuvole.

    Dai, trollone, cosa hanno in comune Exchange e Sendmail ? SMTP e basta ...
    non+autenticato

  • Eccone un altro pronto per il "premio narrativa fantascienza".

    - Scritto da: Anonimo
    > a forza di paccare send mail (due anni fa
    > per un buco la nostra macchina era diventata
    > uno zombi in mano agli hackers), e visto che
    > gli altri mail server se vuoi assistenza
    > devi pagarli cari, abbiamo pialato la
    > macchina linuz ci abbiamo messo su win2000
    > server ed exchange server, e son due anni
    > che non abbiamo più problemi, inoltre con
    > programmi appositi riusciamo a gestire la
    > reperibilità, distribuire documenti pubblici
    > ecc...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 13 discussioni)