Erneut kritische Schwachstelle in Sendmail

[sascha]

http://CERT.Uni-Stuttgart.DE/ticker/art ... p?mid=1092

[Outlaw]

Hallo und danke für die Nachricht.

Ich habe jetzt mal geschaut, was ich für eine Version habe und sollte updaten, jedoch habe ich Probleme.

Wenn ich mit yast nachschaue, habe ich die rpm Version mit TLS (TSL ??) und daher empfielt es sich ja normalerweise, auch wieder per rpm zu installieren. Nun kann ich aber in Yast keine neuere Version finden und mit YAST2 funzt gerade das OnlineUpdate nicht ....

Wie gehe ich jetzt am besten vor, ohne meine bisherige Konfig in den Wind zu "blasen" ??

[sascha]

SuSE wird sicher bald neue Pakete herausbringen. Wenns soweit ist poste ich wieder hier ;)

[Outlaw]

Super, besten dank. Ich wollte ja beim OnlineUpdate nachschauen, nur kann ich momentan mit keinerlei FTP Server connecten ....

Uff, da fällt mir was ein. Ich hatte ja das SendMail nach dem 1&1 FAQ installiert. Muss mal nachschauen, ....

*nachschau*

Schade, es gibt nur noch Anleitungen zu Postfix ....

[coolsurfer]

Und schon gibt es einen Patch für Suse 7.2:

Hier nochmals die Anleitung:

Code: Select all

rpm -qa | grep sendmail

wenn dabei z.B. sendmail-8.11.3-110 rauskommt dann:

Code: Select all

wget ftp://ftp.suse.com/pub/suse/i386/update/7.2/n1/sendmail-8.11.3-108.i386.rpm
rpm -Fhv sendmail-8.11.3-108.i386.rpm
rcsendmail restart

wenn dabei z.B. sendmail-tls-8.11.3-110 rauskommt dann:

Code: Select all

wget ftp://ftp.suse.com/pub/suse/i386/update/7.2/sec2/sendmail-tls-8.11.3-112.i386.rpm
rpm -Fhv sendmail-tls-8.11.3-112.i386.rpm
rcsendmail restart

[Outlaw]

Hallo, in dem oben verlinkten Artikel szeht doch was von

Betroffene Systeme

Systeme, die Sendmail vor Version 8.12.9 einsetzen
Sendmail Pro (alle Versionen)
Sendmail Switch 2.1 vor Version 2.1.6
Sendmail Switch 2.2 vor Version 2.2.6
Sendmail Switch 3.0 vor Version 3.0.4

Ist dann Deine genannte Version nicht betroffen, da sie doch drunter liegt ??

[kase]

öhm, die Version liegt darunter, und gleich in der ersten Zeile steht:

>Betroffene Systeme sind: Systeme, die Sendmail vor Version 8.12.9 einsetzen

[Outlaw]

Eben .... deshalb frage ich ....

[pg-computer]

Hoi Hoi,

naja SuSE hat so seine eigne "Nummerierung" 8O
Die Patchen nur die Fehler, Sicherheitslücken, etc. raus so wie ich das sehe...

[kase]

Achso, jetzt versteh ich erst, was du meinst :D :D

Die Version darf bei einem Security Patch natürlich nicht verändert werden, meistens wird an die vorhandene Versionsnummer nur ein .2 oder .b oder wie bei Suse -xyz drangehängt bzw geändert.

Durch den Security Patch entsteht ja keine neue Version.

[pfuschi]

servus,
ist mit dem patch auch der letzte fehler behoben oder muss ich den alten patch trotzdem noch einspielen?
greeetz & fetten segen
manu

[dodolin]

ist mit dem patch auch der letzte fehler behoben oder muss ich den alten patch trotzdem noch einspielen?

Wenn du ein RPM, DEB oder sonstiges Paket deiner Distribution nimmst und das letzte mit der höchsten Version nimmst, sollten alle bisher bekannten Schwachstellen beseitigt sein. Allerdings ist mit ziemlich grosser Wahrscheinlichkeit davon auszugehen, dass Sendmail auch in Zukunft wieder negativ in dieser Hinsicht auffallen wird und deshalb wäre IMHO jetzt ein guter Zeitpunkt, um auf einen anderen Mailer umzusteigen.

[pfuschi]

servus,
gibt es eine möglichkeit parallel 2 mailer zu installieren? bzw. sendmail zu deaktivieren ohne es zu entfernen?
ich hab nen security patch von den suse servern eingespielt...(RPM) ist also erledigt
ich würde dann zu qmail greiffen ... da hört man ja viel gutes

greetz & fetten segen
manu

[floschi]

Theoretisch kannst du das eine stoppen und das andere starten... aber du bekommst einige Probs, nicht zuletzt mit dem binary (Stichwort php)...

[pfuschi]

servus,
hm... okay dann mach ich das weiterhin...
ich muss das dann mal an nem WE nachts machen
greetz & fetten segen
manu