Remote Sendmail Header Processing Vulnerability

[rainy]

Hi!

Alle die Sendmail benutzen sollten sich das hier einmal durchlesen und die nötigen Patches einspielen oder ein Update vornehmen.


http://www.iss.net/issEn/delivery/xforc ... ?oid=21950



MfG

rainY

[sascha]

Von SuSE stehen bereits Patches bereit: http://lists.suse.com/archive/suse-secu ... /0001.html

[barto]

danke,
hab mich gleich der suse-security-announce mailinglist subscribed
(warum hab ich das nicht schon früher getan? :))

[kase]

Bei Debian gibts mal wieder noch nix, obwohl, liegt vielleicht daran, dass Exim da standart Mailer ist...

[tweitzel]

(1&1 Rootserver L, SuSE 7.2)

Nach Installation der angegebenen Patches vom SuSE Server hab' ich sie eingespielt:

rcsendmail stop
rpm -Fhv sendmail-8.11.3-106.i386.rpm
rpm -Fhv sendmail-tls-8.11.3-110.i386.rpm
rcsendmail start

Nur bei Installation von sendmail-tls-8.11.3-110.i386.rpm hat er tatsächlich Dateien geschrieben, wohl weil das erste RPM schonmal eingespielt wurde (?).

Jedenfalls zeigen die Mail-Header bzgl. der verwendeten sendmail Version keinen Unterschied. Vorher und nachher sehen Sie so aus:

(8.11.3/8.11.3/SuSE Linux 8.11.1-0.5)

Ist das Ok so oder ist hier etwas falsch gelaufen?

[c14l]

(1&1 Rootserver L, SuSE 7.2)

Nur bei Installation von sendmail-tls-8.11.3-110.i386.rpm hat er tatsächlich Dateien geschrieben, wohl weil das erste RPM schonmal eingespielt wurde

Hab die gleiche SuSE (7.2). Ein rpm -qa | grep sendmail hat ergeben, daß nur "sendmail-tls" installiert ist. Was auch immer der Unterschied von "sendmail" zu "sendmail-tls" sein mag.

Ein rpm -Uvh --test sendmail-tls-8.11.3-110.i386.rpm, bzw rpm -Uvh --test sendmail-8.11.3-106.i386.rpm ergibt, das letzteres in Konflikt mit ersterem steht. Also hab ich nur das "tls" upgedated, und das andere weggelassen.

Weis jemand, was der Unterschied zwischen den beiden Dateien ist?

Gruß

[floschi]

tls ist verschlüsselung ;)

[c14l]

Danke für die Info olfi! :)

[jlinker]

Habe versehentlich den 8.11.6 installiert. Ist das schlimm? Vorher war nur der 8.11.3 drauf!

Es scheint alles zu laufen, aber ich wollte sicherheitshalber mal fragen :?

[kase]

Bei Debian gibt es inzwischen auch das Sendmail Update.

Für alle, die Sendmail benutzten, wäre also ein:

apt-get update && apt-get upgrade

ganz nützlich.

[robert]

Wie kann man rausfinden ob die sendmail Version noch in gefahr ist?
Wenn nur die tls geupdatet wurde. Gibt es einen proof of concept?

[distanzcheck]

kann da evtl. mal jemand ein HowTo zu schreiben?
Suse 7.2 1&1 Root Server

Dirk

[Anonymous]

Hat jemand 8.12 from source zum laufen bekommen? Die von sendmail.org?

Ich hab sie soweit gekriegt dass sie wenixtens nicht alle mails abgelehnt hat, aber dann hat sich procmail mit EX_TEMPFAIL verabschiedet.
Musste jetzt erstmal zurueckgehen, die User werden wach :-)

Karlo

[sascha]

Ein Howto für SuSE 7.2? Wurde doch schon gepostet aber ich wiederhole es gerne ;)

Welche Version habe ich installiert?

Code: Select all

rpm -qa |grep sendmail

Je nachdem was dabei ausgegeben wird (mit tls oder ohne) das entsprechende Paket downloaden. Also entweder ftp://ftp.suse.com/pub/suse/i386/update ... 6.i386.rpm

oder

ftp://ftp.suse.com/pub/suse/i386/update ... 0.i386.rpm

Installiert wird mit

Code: Select all

rpm -Fhv sendmail-8.11.3-106.i386.rpm

bzw.

Code: Select all

rpm -Fhv sendmail-tls-8.11.3-110.i386.rpm 

Danach noch Sendmail mit

Code: Select all

rcsendmail restart

neu starten.

Das wars!

[distanzcheck]

habe mit tls

auch mit wget runtergeladen
nun kommt rpm -Fhv sendmail-8.11.3-110.i386.rpm
error: cannot open file sendmail-8.11.3-110.i386.rpm: No such file or directory

Dirk

EDIT

Denke mal die zweite zeile oben sollte lauten

Code: Select all

rpm -Fhv sendmail-tls-8.11.3-110.i386.rpm

[sascha]

Sorry, mein Fehler. Bei der tls-Version muss der Befehl natürlich

Code: Select all

rpm -Fhv rpm -Fhv sendmail-tls-8.11.3-110.i386.rpm 

lauten. Habs auch gerade oben korrigiert

[c14l]

Also, vor dem installieren sollte man mit

Code: Select all

md5sum sendmail-tls-8.11.3-110.i386.rpm

bzw.

Code: Select all

rpm -v --checksig sendmail-tls-8.11.3-110.i386.rpm

(letzteres IIRC) die md5-checksumme prüfen. Oder macht rpm das automatisch bei einem Fvh? (Wieso eigentlich -F? Ist Update nicht eigentlich -U?)

Gruß
C14L

[Anonymous]

Danke Sascha, aber ich sprach von 8.12

Karlo

[sascha]

Hi,

die Antwort bezog sich auch auf die Anfrage von distanzcheck ;)

[root4fun]

Hi,

wenn ihr prüfen wollt, ob der Patch erfolgreich war, gibt es noch diesen Weg:

1. per ssh einloggen

2. which sendmail [ENTER] (ermittelt den Ordner in dem das sendmail-Binary liegt)

3. cd /usr/sbin [ENTER] (Wechsel in das zuvor ermittelte Verzeichnis - ggf. anpassen!)

4. strings sendmail | grep 'Dropped invalid comments from header address' [ENTER] (Befehl um den Test auszuführen)

5. wenn 'Dropped invalid comments from header address' erscheint war der Patch erfolgreich :-D

Quelle: http://www.sendmail.org/patchcr.html

Gruss
root4fun

[tweitzel]

@root4fun

Danke, das war genau die Ino die ich brauchte!

[flotte]

Habe den Patch auf ein lokales Sendmail (Suse 8.1) im Firmennetzwerk angewendet. Augenscheinlich hat es auch geklappt.
Nun werden aber keine Mails mehr verschickt. Unser sendmail verschickt über einen smarthost (Relay-Server) unseres Internet-Providers. Dieser ist durch eine Authentifizierung gegen Spam geschützt.
habe alle geprüft und mit alten Sicherungen verglichen: die sendmail.cf, sysconfig/sendmail, auth-info etc.
kann leider nichts finden.

Daher meine Frage: Wie kann ich den Patch entfernen? Gibt es eine Möglichkeit, die den Originalzustand wiederherstellt?

[cyber]

na sowas da hab ich gerade eben im internet über das neue sendmail problem gelesen, komm hier her und 5min später is das ding schon wieder
vom tisch ...klasse und danke für das Howto!

[flotte]

Habe den Patch auf ein lokales Sendmail (Suse 8.1) im Firmennetzwerk angewendet. Augenscheinlich hat es auch geklappt.
Nun werden aber keine Mails mehr verschickt. Unser sendmail verschickt über einen smarthost (Relay-Server) unseres Internet-Providers. Dieser ist durch eine Authentifizierung gegen Spam geschützt.
habe alle geprüft und mit alten Sicherungen verglichen: die sendmail.cf, sysconfig/sendmail, auth-info etc.
kann leider nichts finden.

Mein Problem ist nun gelöst. Es lag daran, das die auth-info.db neu generiert werden musste. Möglicherweise stolpern auch andere User drüber.
Also: /sbin/conf.d/SuSEconfig.sendmail

(Alle db-Dateien zu sendmail werde dabei neu erzeugt)

[basti0072]

Hallo,

ich habe jetzt alles so gemacht, wie es unten gestanden ist nur kann ich jetzt keine eMails mehr verschicken. Ich bekomme jetzt immer folgende Fehlermeldung
'[email-adresse]' am 05.03.2003 22:15
550 5.7.1 <[email-adresse]>... Relaying denied

Was habe ich vergessen/falsch gemacht und wie kann ich das wieder ändern ?

Ein Howto für SuSE 7.2? Wurde doch schon gepostet aber ich wiederhole es gerne ;)

Welche Version habe ich installiert?

Code: Select all

rpm -qa |grep sendmail

Je nachdem was dabei ausgegeben wird (mit tls oder ohne) das entsprechende Paket downloaden. Also entweder ftp://ftp.suse.com/pub/suse/i386/update ... 6.i386.rpm

oder

ftp://ftp.suse.com/pub/suse/i386/update ... 0.i386.rpm

Installiert wird mit

Code: Select all

rpm -Fhv sendmail-8.11.3-106.i386.rpm

bzw.

Code: Select all

rpm -Fhv sendmail-tls-8.11.3-110.i386.rpm 

Danach noch Sendmail mit

Code: Select all

rcsendmail restart

neu starten.

Das wars!