Page 1 of 1
Offenes Scheunentor: Plesk 8 u. poppassd
Posted: 2006-04-10 23:26
by daemotron
Guten abend,
habe meinen Server auf SuSE 9.3 und Plesk 8.0 upgedated und musste eben mit Entsetzen feststellen, dass poppassd munter auf Port 106 lauscht - als hätte es
http://www.linux-magazin.de/Artikel/aus ... _news.html nie gegeben... Dazu kommt dann noch, dass der Dienst über xinetd mit root gestartet wird und nicht an localhost gebunden ist. :twisted:
Dabei wird das Ding eigentlich nur gebraucht, damit man auch mit Horde die Passwörter für die Mailaccounts ändern kann - aber dafür würde ein an localhost gebundener poppassd wirklich reichen!
Re: Offenes Scheunentor: Plesk 8 u. poppassd
Posted: 2006-04-10 23:29
by captaincrunch
Danke für den Hinweis! Hast du den Bugreport an SWSoft, sowie die Mail an Bugtraq, Full Disclosure und Co. schon geschrieben? ;)
Re: Offenes Scheunentor: Plesk 8 u. poppassd
Posted: 2006-04-11 19:54
by buddaaa
jfreund wrote:Guten abend,
habe meinen Server auf SuSE 9.3 und Plesk 8.0 upgedated und musste eben mit Entsetzen feststellen, dass poppassd munter auf Port 106 lauscht - als hätte es
http://www.linux-magazin.de/Artikel/aus ... _news.html nie gegeben... Dazu kommt dann noch, dass der Dienst über xinetd mit root gestartet wird und nicht an localhost gebunden ist. :twisted:
Dabei wird das Ding eigentlich nur gebraucht, damit man auch mit Horde die Passwörter für die Mailaccounts ändern kann - aber dafür würde ein an localhost gebundener poppassd wirklich reichen!
dummerweise kann xinted nicht einzelne dienste an bestimmte ports binden, das geht nur global. hat mich in anderem zusammenhang schonmal genervt.
da hilft nur blocken mit iptables oder schlimme verenkungen.
Re: Offenes Scheunentor: Plesk 8 u. poppassd
Posted: 2006-04-11 20:08
by duergner
buddaaa wrote:dummerweise kann xinted nicht einzelne dienste an bestimmte ports binden, das geht nur global. hat mich in anderem zusammenhang schonmal genervt.
An einzelne Ports kann der sehr wohl binden, wenn sonst wäre das ja wohl etwas sehr komisch, wenn ein durch xinetd gestarteter Dienst auf den Ports 0-65XXX hören würde. *gg* Aber du meintest ja wohl an einzelne IP Adressen und auch das geht sehr wohl mit xinetd. (
http://www.xinetd.org/sample.shtml)
Re: Offenes Scheunentor: Plesk 8 u. poppassd
Posted: 2006-04-12 00:02
by buddaaa
duergner wrote:buddaaa wrote:dummerweise kann xinted nicht einzelne dienste an bestimmte ports binden, das geht nur global. hat mich in anderem zusammenhang schonmal genervt.
An einzelne Ports kann der sehr wohl binden, wenn sonst wäre das ja wohl etwas sehr komisch, wenn ein durch xinetd gestarteter Dienst auf den Ports 0-65XXX hören würde. *gg* Aber du meintest ja wohl an einzelne IP Adressen und auch das geht sehr wohl mit xinetd. (
http://www.xinetd.org/sample.shtml)
ups, ich hatte den schuldigen falsch in erinnerung aber das ergebnis bleibt das gleiche:
an ein interface binden geht nicht mit plesk weil das die /etc/xinetd.d/poppassd_psa immer komplett neu schreibt.
Re: Offenes Scheunentor: Plesk 8 u. poppassd
Posted: 2006-04-12 00:29
by duergner
Dann is das wohl ein Bug in der Software. Somit einen entsprechenden Bug-Report an den Hersteller selbiger und die anderen üblichen Dinge.
Re: Offenes Scheunentor: Plesk 8 u. poppassd
Posted: 2006-04-12 01:27
by buddaaa
duergner wrote:Dann is das wohl ein Bug in der Software. Somit einen entsprechenden Bug-Report an den Hersteller selbiger und die anderen üblichen Dinge.
naja, eher ein fehlendes feature weil die einzelnen dateien in xinetd.d zu parsen und aenderungen einzufuegen ist natuerlich viel komplizierter und fehleranfaelliger als sie einfach zu ueberbuegeln.
auf jeden fall wuerde ich in der zwischenzeit mit iptables den port dicht machen.
Re: Offenes Scheunentor: Plesk 8 u. poppassd
Posted: 2006-04-12 03:02
by duergner
Einen sicherheitskritischen Dienst an die öffentliche IP zu biden würde ich mal schon als Bug betrachten. Natürlich unter der Bedingung, dass dieser Dienst von Plesk selbst dort eingetragen wird. Ansonsten sollte man das ganze doch auch einfach durch einen Eintrag in xinet.derledigen können, oder wird das auch platt gemacht?
Re: Offenes Scheunentor: Plesk 8 u. poppassd
Posted: 2006-04-12 10:54
by lord_pinhead
Ich hab zwar nie ein Plesk gesehen, aber kann man nicht wie bei Confixx die Dateien die er schreiben soll in dem Plesk Homeordner verändern damit er beim nächsten Durchlauf die änderungen selbstständig verwendet und behält?
Ansonsten, die Datei abändern und mit chattrib +i und chmod 440 einfach sperren, glaub nicht das die Entwickler daran gedacht haben.
Edit: Da wir grad beim Thema sind, Confixx ist auch gleich wieder vertreten:
http://secunia.com/advisories/19611/
Re: Offenes Scheunentor: Plesk 8 u. poppassd
Posted: 2006-07-29 19:42
by daemotron
buddaaa wrote:an ein interface binden geht nicht mit plesk weil das die /etc/xinetd.d/poppassd_psa immer komplett neu schreibt.
Tut es nicht. Selbst bei einem Plesk-Upgrade blieb die Datei bei mir unberührt. Einfach der o.g. Datei folgende Einträge ergänzen:
Code: Select all
service poppassd
{
[...]
interface = 127.0.0.1
only_from = localhost
...
}
Die Überprüfung zeigt:
Code: Select all
netstat -tlpn
[...]
tcp 0 0 127.0.0.1:106 0.0.0.0:* LISTEN 7344/xinetd
[...]
telnet 12.34.56.78 106
Trying 12.34.56.78...
telnet: connect to address 12.34.56.78: Connection refused
HTH