Offenes Scheunentor: Plesk 8 u. poppassd

[daemotron]

Guten abend,

habe meinen Server auf SuSE 9.3 und Plesk 8.0 upgedated und musste eben mit Entsetzen feststellen, dass poppassd munter auf Port 106 lauscht - als hätte es http://www.linux-magazin.de/Artikel/aus ... _news.html nie gegeben... Dazu kommt dann noch, dass der Dienst über xinetd mit root gestartet wird und nicht an localhost gebunden ist. :twisted:

Dabei wird das Ding eigentlich nur gebraucht, damit man auch mit Horde die Passwörter für die Mailaccounts ändern kann - aber dafür würde ein an localhost gebundener poppassd wirklich reichen!

[captaincrunch]

Danke für den Hinweis! Hast du den Bugreport an SWSoft, sowie die Mail an Bugtraq, Full Disclosure und Co. schon geschrieben? ;)

[buddaaa]

Guten abend,

habe meinen Server auf SuSE 9.3 und Plesk 8.0 upgedated und musste eben mit Entsetzen feststellen, dass poppassd munter auf Port 106 lauscht - als hätte es http://www.linux-magazin.de/Artikel/aus ... _news.html nie gegeben... Dazu kommt dann noch, dass der Dienst über xinetd mit root gestartet wird und nicht an localhost gebunden ist. :twisted:

Dabei wird das Ding eigentlich nur gebraucht, damit man auch mit Horde die Passwörter für die Mailaccounts ändern kann - aber dafür würde ein an localhost gebundener poppassd wirklich reichen!

dummerweise kann xinted nicht einzelne dienste an bestimmte ports binden, das geht nur global. hat mich in anderem zusammenhang schonmal genervt.

da hilft nur blocken mit iptables oder schlimme verenkungen.

[duergner]

dummerweise kann xinted nicht einzelne dienste an bestimmte ports binden, das geht nur global. hat mich in anderem zusammenhang schonmal genervt.

An einzelne Ports kann der sehr wohl binden, wenn sonst wäre das ja wohl etwas sehr komisch, wenn ein durch xinetd gestarteter Dienst auf den Ports 0-65XXX hören würde. *gg* Aber du meintest ja wohl an einzelne IP Adressen und auch das geht sehr wohl mit xinetd. (http://www.xinetd.org/sample.shtml)

[buddaaa]

dummerweise kann xinted nicht einzelne dienste an bestimmte ports binden, das geht nur global. hat mich in anderem zusammenhang schonmal genervt.

An einzelne Ports kann der sehr wohl binden, wenn sonst wäre das ja wohl etwas sehr komisch, wenn ein durch xinetd gestarteter Dienst auf den Ports 0-65XXX hören würde. *gg* Aber du meintest ja wohl an einzelne IP Adressen und auch das geht sehr wohl mit xinetd. (http://www.xinetd.org/sample.shtml)

ups, ich hatte den schuldigen falsch in erinnerung aber das ergebnis bleibt das gleiche:
an ein interface binden geht nicht mit plesk weil das die /etc/xinetd.d/poppassd_psa immer komplett neu schreibt.

[duergner]

Dann is das wohl ein Bug in der Software. Somit einen entsprechenden Bug-Report an den Hersteller selbiger und die anderen üblichen Dinge.

[buddaaa]

Dann is das wohl ein Bug in der Software. Somit einen entsprechenden Bug-Report an den Hersteller selbiger und die anderen üblichen Dinge.

naja, eher ein fehlendes feature weil die einzelnen dateien in xinetd.d zu parsen und aenderungen einzufuegen ist natuerlich viel komplizierter und fehleranfaelliger als sie einfach zu ueberbuegeln.

auf jeden fall wuerde ich in der zwischenzeit mit iptables den port dicht machen.

[duergner]

Einen sicherheitskritischen Dienst an die öffentliche IP zu biden würde ich mal schon als Bug betrachten. Natürlich unter der Bedingung, dass dieser Dienst von Plesk selbst dort eingetragen wird. Ansonsten sollte man das ganze doch auch einfach durch einen Eintrag in xinet.derledigen können, oder wird das auch platt gemacht?

[lord_pinhead]

Ich hab zwar nie ein Plesk gesehen, aber kann man nicht wie bei Confixx die Dateien die er schreiben soll in dem Plesk Homeordner verändern damit er beim nächsten Durchlauf die änderungen selbstständig verwendet und behält?
Ansonsten, die Datei abändern und mit chattrib +i und chmod 440 einfach sperren, glaub nicht das die Entwickler daran gedacht haben.

Edit: Da wir grad beim Thema sind, Confixx ist auch gleich wieder vertreten: http://secunia.com/advisories/19611/

[daemotron]

an ein interface binden geht nicht mit plesk weil das die /etc/xinetd.d/poppassd_psa immer komplett neu schreibt.

Tut es nicht. Selbst bei einem Plesk-Upgrade blieb die Datei bei mir unberührt. Einfach der o.g. Datei folgende Einträge ergänzen:

Code: Select all

service poppassd
{
[...]
  interface = 127.0.0.1
  only_from = localhost
...
}

Die Überprüfung zeigt:

Code: Select all

netstat -tlpn
[...]
tcp        0      0 127.0.0.1:106           0.0.0.0:*               LISTEN      7344/xinetd
[...]

telnet 12.34.56.78 106
Trying 12.34.56.78...
telnet: connect to address 12.34.56.78: Connection refused

HTH