Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 23 reacties
Bron: Sendmail.org, submitter: siebrand

Sendmail.org, distributeur van de freeware-versie van Sendmail, heeft gisteren versie 8.12.9 van haar software aangekondigd. De release valt, enigszins onhandig, op een zaterdag doordat er onverwacht informatie over het in deze versie gepatchte lek op een nieuwsgroep verscheen.

Sendmail.org draakjeDe exploit, die werd ontdekt door Michal Zalewski maakt gebruik van een buffer overflow die kan optreden bij het parsen van een adres. Het lek is als kritiek bestempeld; alle gebruikers van sendmail worden aangeraden onmiddelijk te updaten. Het complete changelog ziet er als volgt uit:

  • SECURITY: Fix a buffer overflow in address parsing due to a char to int conversion problem which is potentially remotely exploitable. Problem found by Michal Zalewski. Note: an MTA that is not patched might be vulnerable to data that it receives from untrusted sources, which includes DNS.
  • To provide partial protection to internal, unpatched sendmail MTAs, 8.12.9 changes by default (char)0xff to (char)0x7f in headers etc. To turn off this conversion compile with -DALLOW_255 or use the command line option -d82.101.
  • To provide partial protection for internal, unpatched MTAs that may be performing 7->8 or 8->7 bit MIME conversions, the default for MaxMimeHeaderLength has been changed to 2048/1024. Note: this does have a performance impact, and it only protects against frontal attacks from the outside. To disable the checks and return to pre-8.12.9 defaults, set MaxMimeHeaderLength to 0/0.
  • Do not complain about -ba when submitting mail. Problem noted by Derek Wueppelmann.
  • Fix compilation with Berkeley DB 1.85 on systems that do not have flock(2). Problem noted by Andy Harper of Kings College London.
  • Properly initialize data structure for dns maps to avoid various errors, e.g., looping processes. Problem noted by Maurice Makaay.
  • CONFIG: Prevent multiple application of rule to add smart host. Patch from Andrzej Filip.
  • CONFIG: Fix queue group declaration in MAILER(`usenet').
  • CONTRIB: buildvirtuser: New option -t builds the virtusertable text file instead of the database map.
[break]Download de nieuwe versie van het programma hier of haal hier een patch op.

Lees meer over

Versienummer:8.12.9
Website:Sendmail.org
Download:ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.9.tar.gz
Licentietype:Freeware
Moderatie-faq Wijzig weergave

Reacties (23)

Sendmail mag dan wel uitgebreid zijn en veel (overbodige?) opties hebben, met al deze lekken vraag je je toch af waarom mensen het nog gebruiken. Volgens mij kan Exim net zo veel en is het nog makkelijker in gebruik ook.

Maar goed, als 80% van al het e-mail verkeer door Exim afgehandeld zou worden zouden daar 'opeens' weer veel bugs inzitten natuurlijk :)
Ik weet niet wanneer welke programma's begonnen zijn maar volgensmij is Sendmail er al wel een lange tijd. Ook zal het gedeeltelijk komen omdat Sendmail bij veel distributies te installeren is door packages.
sterker nog: Sendmail was eerder op aarde dan jij ;)
[laat maar: overbodig]
sendmail is 1 van de eerste mail servers. En wordt bij de meeste un*x-en gebruikt.

Daarnaast zegt men, dat sendmail beter the scalen is. Dan bv. Postfix wat een veer gemakkelijker mail server is.
Meest gebruikt zegt niks over kwaliteit. Security valt imo onder kwaliteit. Security en Sendmail.. tja, kun je een boek over schrijven.

Beter te scalen? Oh kommop laat me niet lachen.. Alsof Postfix en Qmail dat niet zijn..

Nee hoor, Qmail is niet schaalbaar. Hotmail en Yahoo gebruiken het om zichzelf koppijn te bezorgen.

http://cr.yp.to/qmail/faq/orientation.html#reasons

Voor meneer die beweert dat Sendmail 80% in handen heeft. March 2003: Typical news reports of the latest Sendmail remote-root bug claimed that ``between 50 and 75 percent of all the Internet's e-mail is handled by the various versions of Sendmail.'' bron

(ik heb geen zin om een MTA-flamewar te beginnen maar een opmerking als deze die gewoonweg bullshit is imo en niet onderbouwt dat kan ik niet uitstaan)
Voor welke Operating Systems?? oei helemaal geen. Handig ;)
Tsja, welk os. Sendmail is een behoorlijk breed geport programma.
met andere woorden, bijna alle UNIXes, LINUXes en BSDs. Zo'n 80 procent van al het email verkeer loopt nog steeds over sendmail, en dat maakt dit een zo belangrijke update.
Dat de standaard windows gebruiker, waaronder ik waarschijnlijk jou ook kan scharen, hier niks van merkt spreekt wat dat betreft alleen maar voor het programma, en het tempo waarin gaten gedicht worden.

Je os opmerking is wat mij betreft een beetje firstposterig en kortzichtig.
...het tempo waarin gaten gedicht worden.
Yeah right! Deze bug zit er dus al 15 jaar in
Yeah right! Deze bug zit er dus al 15 jaar in
Dat is dus het tempo van bugs ontdekken...
Deze bug is binnen een dag gedicht...
Het tempo waarin gaten gedicht worden ligt dus wél hoog.
Uhm, van bugtrack:
*** FORCED RELEASE -- VENDOR NOTIFIED AS OF 03/18/03 ***
Da's al minimaal 11 dagen
Nedlinux.nl is over op squirrelmail en dat werkt er goed naar mijn ervaringen, sendmail was niet altijd even top :7
Sendmail is een MTA en SquirrelMail is een webbased mail pakket dat gebruikt maakt van een MTA. Dus zonder MTA geen SquirrelMail. Jouw bewering lijkt me dan ook vrij onlogisch.
Sorry mijn fout ik bedoelde Courier die is wel MTA
Persoonlijk heb ik liever qmail, daar is naar mijn weten nog nooit een ernstig beveiligingslek in gevonden in alle tijd dat het al bestaat. En het werkt ook nog es erg goed :)
http://cr.yp.to/qmail/guarantee.html 500$ als je er wel een vind
Sendmail is geen freeware.
Dat dacht ik eerst ook, maar kijk eens bovenaan http://www.sendmail.org, waar dit bericht vandaan komt:
This web site is maintained by the Sendmail Consortium to be a resource for the freeware version of sendmail
Iets verder op staat wel:
For those not running the open source version, check with your vendor for a patch.
Maar hoewel open source meestal GPL of BSD-licenced is kan het ook best freeware zijn. Deze patch is dus voor de freeware versie van Sendmail. Als jij een versie met een andere licentie beheert moet je volgens Sendmail.org naar je verkoper toe gaan :)
de patch wel :)
"Enigsinds" (alinea 1, regel 2) moet zijn "Enigzins". Nederlands is ook moeilijk :Y)
Voorals als het enigszins moet zijn :D
Met nog een s drbij:
´enigsˇzins (bw.)

1 een weinig => enigermate, lichtelijk, tot op zekere hoogte, in zekere mate, min of meer, een beetje2 op welke wijze dan ook
Fixed, tnx :)

[edit] GraveR gemist, ook tnx :P

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True