Erneut kritische Schwachstelle in Sendmail

Rund um die Sicherheit des Systems und die Applikationen
sascha
Posts: 1325
Joined: 2002-04-22 23:08

Erneut kritische Schwachstelle in Sendmail

Post by sascha » 2003-03-30 12:21

Last edited by sascha on 2003-04-13 20:46, edited 1 time in total.

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: Erneut kritische Schwachstelle in Sendmail

Post by Outlaw » 2003-03-30 13:58

Hallo und danke für die Nachricht.

Ich habe jetzt mal geschaut, was ich für eine Version habe und sollte updaten, jedoch habe ich Probleme.

Wenn ich mit yast nachschaue, habe ich die rpm Version mit TLS (TSL ??) und daher empfielt es sich ja normalerweise, auch wieder per rpm zu installieren. Nun kann ich aber in Yast keine neuere Version finden und mit YAST2 funzt gerade das OnlineUpdate nicht ....

Wie gehe ich jetzt am besten vor, ohne meine bisherige Konfig in den Wind zu "blasen" ??
:D Gruß Outi :D

sascha
Posts: 1325
Joined: 2002-04-22 23:08

Re: Erneut kritische Schwachstelle in Sendmail

Post by sascha » 2003-03-30 14:36

SuSE wird sicher bald neue Pakete herausbringen. Wenns soweit ist poste ich wieder hier ;)

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: Erneut kritische Schwachstelle in Sendmail

Post by Outlaw » 2003-03-30 14:41

Super, besten dank. Ich wollte ja beim OnlineUpdate nachschauen, nur kann ich momentan mit keinerlei FTP Server connecten ....

Uff, da fällt mir was ein. Ich hatte ja das SendMail nach dem 1&1 FAQ installiert. Muss mal nachschauen, ....

*nachschau*

Schade, es gibt nur noch Anleitungen zu Postfix ....
:D Gruß Outi :D

coolsurfer
Posts: 61
Joined: 2002-05-01 18:16

Re: Erneut kritische Schwachstelle in Sendmail

Post by coolsurfer » 2003-04-01 19:41

Und schon gibt es einen Patch für Suse 7.2:

Hier nochmals die Anleitung:

Code: Select all

rpm -qa | grep sendmail
wenn dabei z.B. sendmail-8.11.3-110 rauskommt dann:

Code: Select all

wget ftp://ftp.suse.com/pub/suse/i386/update/7.2/n1/sendmail-8.11.3-108.i386.rpm
rpm -Fhv sendmail-8.11.3-108.i386.rpm
rcsendmail restart
wenn dabei z.B. sendmail-tls-8.11.3-110 rauskommt dann:

Code: Select all

wget ftp://ftp.suse.com/pub/suse/i386/update/7.2/sec2/sendmail-tls-8.11.3-112.i386.rpm
rpm -Fhv sendmail-tls-8.11.3-112.i386.rpm
rcsendmail restart

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: Erneut kritische Schwachstelle in Sendmail

Post by Outlaw » 2003-04-01 19:57

Hallo, in dem oben verlinkten Artikel szeht doch was von
Na der Link da oben wrote:Betroffene Systeme

Systeme, die Sendmail vor Version 8.12.9 einsetzen
Sendmail Pro (alle Versionen)
Sendmail Switch 2.1 vor Version 2.1.6
Sendmail Switch 2.2 vor Version 2.2.6
Sendmail Switch 3.0 vor Version 3.0.4
Ist dann Deine genannte Version nicht betroffen, da sie doch drunter liegt ??
:D Gruß Outi :D

kase
Posts: 1031
Joined: 2002-10-14 22:56

Re: Erneut kritische Schwachstelle in Sendmail

Post by kase » 2003-04-01 20:11

öhm, die Version liegt darunter, und gleich in der ersten Zeile steht:

>Betroffene Systeme sind: Systeme, die Sendmail vor Version 8.12.9 einsetzen

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: Erneut kritische Schwachstelle in Sendmail

Post by Outlaw » 2003-04-01 20:21

Eben .... deshalb frage ich ....
:D Gruß Outi :D

pg-computer
Posts: 144
Joined: 2002-09-27 19:28
Location: Drebach / Erzgebirge

Re: Erneut kritische Schwachstelle in Sendmail

Post by pg-computer » 2003-04-01 20:23

Hoi Hoi,

naja SuSE hat so seine eigne "Nummerierung" 8O
Die Patchen nur die Fehler, Sicherheitslücken, etc. raus so wie ich das sehe...

kase
Posts: 1031
Joined: 2002-10-14 22:56

Re: Erneut kritische Schwachstelle in Sendmail

Post by kase » 2003-04-01 20:29

Achso, jetzt versteh ich erst, was du meinst :D :D

Die Version darf bei einem Security Patch natürlich nicht verändert werden, meistens wird an die vorhandene Versionsnummer nur ein .2 oder .b oder wie bei Suse -xyz drangehängt bzw geändert.

Durch den Security Patch entsteht ja keine neue Version.

pfuschi
Posts: 7
Joined: 2002-06-25 11:16

Re: Erneut kritische Schwachstelle in Sendmail

Post by pfuschi » 2003-04-08 16:30

servus,
ist mit dem patch auch der letzte fehler behoben oder muss ich den alten patch trotzdem noch einspielen?
greeetz & fetten segen
manu

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Erneut kritische Schwachstelle in Sendmail

Post by dodolin » 2003-04-08 16:40

ist mit dem patch auch der letzte fehler behoben oder muss ich den alten patch trotzdem noch einspielen?
Wenn du ein RPM, DEB oder sonstiges Paket deiner Distribution nimmst und das letzte mit der höchsten Version nimmst, sollten alle bisher bekannten Schwachstellen beseitigt sein. Allerdings ist mit ziemlich grosser Wahrscheinlichkeit davon auszugehen, dass Sendmail auch in Zukunft wieder negativ in dieser Hinsicht auffallen wird und deshalb wäre IMHO jetzt ein guter Zeitpunkt, um auf einen anderen Mailer umzusteigen.

pfuschi
Posts: 7
Joined: 2002-06-25 11:16

Re: Erneut kritische Schwachstelle in Sendmail

Post by pfuschi » 2003-04-08 17:14

servus,
gibt es eine möglichkeit parallel 2 mailer zu installieren? bzw. sendmail zu deaktivieren ohne es zu entfernen?
ich hab nen security patch von den suse servern eingespielt...(RPM) ist also erledigt
ich würde dann zu qmail greiffen ... da hört man ja viel gutes

greetz & fetten segen
manu

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Erneut kritische Schwachstelle in Sendmail

Post by floschi » 2003-04-08 17:19

Theoretisch kannst du das eine stoppen und das andere starten... aber du bekommst einige Probs, nicht zuletzt mit dem binary (Stichwort php)...

pfuschi
Posts: 7
Joined: 2002-06-25 11:16

Re: Erneut kritische Schwachstelle in Sendmail

Post by pfuschi » 2003-04-08 17:52

servus,
hm... okay dann mach ich das weiterhin...
ich muss das dann mal an nem WE nachts machen
greetz & fetten segen
manu