Software-update: Sendmail 8.12.9

Sendmail.org, distributeur van de freeware-versie van Sendmail, heeft gisteren versie 8.12.9 van haar software aangekondigd. De release valt, enigszins onhandig, op een zaterdag doordat er onverwacht informatie over het in deze versie gepatchte lek op een nieuwsgroep verscheen.

Sendmail.org draakjeDe exploit, die werd ontdekt door Michal Zalewski maakt gebruik van een buffer overflow die kan optreden bij het parsen van een adres. Het lek is als kritiek bestempeld; alle gebruikers van sendmail worden aangeraden onmiddelijk te updaten. Het complete changelog ziet er als volgt uit:

  • SECURITY: Fix a buffer overflow in address parsing due to a char to int conversion problem which is potentially remotely exploitable. Problem found by Michal Zalewski. Note: an MTA that is not patched might be vulnerable to data that it receives from untrusted sources, which includes DNS.
  • To provide partial protection to internal, unpatched sendmail MTAs, 8.12.9 changes by default (char)0xff to (char)0x7f in headers etc. To turn off this conversion compile with -DALLOW_255 or use the command line option -d82.101.
  • To provide partial protection for internal, unpatched MTAs that may be performing 7->8 or 8->7 bit MIME conversions, the default for MaxMimeHeaderLength has been changed to 2048/1024. Note: this does have a performance impact, and it only protects against frontal attacks from the outside. To disable the checks and return to pre-8.12.9 defaults, set MaxMimeHeaderLength to 0/0.
  • Do not complain about -ba when submitting mail. Problem noted by Derek Wueppelmann.
  • Fix compilation with Berkeley DB 1.85 on systems that do not have flock(2). Problem noted by Andy Harper of Kings College London.
  • Properly initialize data structure for dns maps to avoid various errors, e.g., looping processes. Problem noted by Maurice Makaay.
  • CONFIG: Prevent multiple application of rule to add smart host. Patch from Andrzej Filip.
  • CONFIG: Fix queue group declaration in MAILER(`usenet').
  • CONTRIB: buildvirtuser: New option -t builds the virtusertable text file instead of the database map.
[break]Download de nieuwe versie van het programma hier of haal hier een patch op.
Versienummer 8.12.9
Website Sendmail.org
Download ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.9.tar.gz
Licentietype Freeware

Door Robert-Jan Huijsman

Meuktracker, Nieuwsposter

Feedback • 30-03-2003 16:58
23 • submitter: siebrand

30-03-2003 • 16:58

23

Submitter: siebrand

Bron: Sendmail.org

Lees meer

Aanvullende componenten

Reacties (23)

-Moderatie-faq
23
22
11
3
0
0
Wijzig sortering
eborn 30 maart 2003 19:18
Sendmail mag dan wel uitgebreid zijn en veel (overbodige?) opties hebben, met al deze lekken vraag je je toch af waarom mensen het nog gebruiken. Volgens mij kan Exim net zo veel en is het nog makkelijker in gebruik ook.

Maar goed, als 80% van al het e-mail verkeer door Exim afgehandeld zou worden zouden daar 'opeens' weer veel bugs inzitten natuurlijk :)
PowerSp00n @eborn30 maart 2003 22:53
Ik weet niet wanneer welke programma's begonnen zijn maar volgensmij is Sendmail er al wel een lange tijd. Ook zal het gedeeltelijk komen omdat Sendmail bij veel distributies te installeren is door packages.
0siris @PowerSp00n31 maart 2003 09:32
sterker nog: Sendmail was eerder op aarde dan jij ;)
arjankoole @0siris1 april 2003 15:00
[laat maar: overbodig]
wica @PowerSp00n30 maart 2003 23:29
sendmail is 1 van de eerste mail servers. En wordt bij de meeste un*x-en gebruikt.

Daarnaast zegt men, dat sendmail beter the scalen is. Dan bv. Postfix wat een veer gemakkelijker mail server is.
Verwijderd @wica31 maart 2003 23:24
Meest gebruikt zegt niks over kwaliteit. Security valt imo onder kwaliteit. Security en Sendmail.. tja, kun je een boek over schrijven.

Beter te scalen? Oh kommop laat me niet lachen.. Alsof Postfix en Qmail dat niet zijn..

Nee hoor, Qmail is niet schaalbaar. Hotmail en Yahoo gebruiken het om zichzelf koppijn te bezorgen.

http://cr.yp.to/qmail/faq/orientation.html#reasons

Voor meneer die beweert dat Sendmail 80% in handen heeft. March 2003: Typical news reports of the latest Sendmail remote-root bug claimed that ``between 50 and 75 percent of all the Internet's e-mail is handled by the various versions of Sendmail.'' bron

(ik heb geen zin om een MTA-flamewar te beginnen maar een opmerking als deze die gewoonweg bullshit is imo en niet onderbouwt dat kan ik niet uitstaan)
Verwijderd 30 maart 2003 17:34
Voor welke Operating Systems?? oei helemaal geen. Handig ;)
schijndel @Verwijderd30 maart 2003 17:51
Tsja, welk os. Sendmail is een behoorlijk breed geport programma.
met andere woorden, bijna alle UNIXes, LINUXes en BSDs. Zo'n 80 procent van al het email verkeer loopt nog steeds over sendmail, en dat maakt dit een zo belangrijke update.
Dat de standaard windows gebruiker, waaronder ik waarschijnlijk jou ook kan scharen, hier niks van merkt spreekt wat dat betreft alleen maar voor het programma, en het tempo waarin gaten gedicht worden.

Je os opmerking is wat mij betreft een beetje firstposterig en kortzichtig.
Brahiewahiewa @schijndel30 maart 2003 18:32
...het tempo waarin gaten gedicht worden.
Yeah right! Deze bug zit er dus al 15 jaar in
sirdupre @Brahiewahiewa30 maart 2003 19:42
Yeah right! Deze bug zit er dus al 15 jaar in
Dat is dus het tempo van bugs ontdekken...
Deze bug is binnen een dag gedicht...
Het tempo waarin gaten gedicht worden ligt dus wél hoog.
Brahiewahiewa @Brahiewahiewa31 maart 2003 17:37
Uhm, van bugtrack:
*** FORCED RELEASE -- VENDOR NOTIFIED AS OF 03/18/03 ***
Da's al minimaal 11 dagen
M@rijn 30 maart 2003 18:55
Nedlinux.nl is over op squirrelmail en dat werkt er goed naar mijn ervaringen, sendmail was niet altijd even top :7
Verwijderd @M@rijn30 maart 2003 19:22
Sendmail is een MTA en SquirrelMail is een webbased mail pakket dat gebruikt maakt van een MTA. Dus zonder MTA geen SquirrelMail. Jouw bewering lijkt me dan ook vrij onlogisch.
M@rijn @Verwijderd30 maart 2003 20:43
Sorry mijn fout ik bedoelde Courier die is wel MTA
m-m @M@rijn31 maart 2003 21:08
Persoonlijk heb ik liever qmail, daar is naar mijn weten nog nooit een ernstig beveiligingslek in gevonden in alle tijd dat het al bestaat. En het werkt ook nog es erg goed :)
http://cr.yp.to/qmail/guarantee.html 500$ als je er wel een vind
Verwijderd 30 maart 2003 17:58
Sendmail is geen freeware.
AuteurNetman768 @Verwijderd30 maart 2003 21:28
Dat dacht ik eerst ook, maar kijk eens bovenaan http://www.sendmail.org, waar dit bericht vandaan komt:
This web site is maintained by the Sendmail Consortium to be a resource for the freeware version of sendmail
Iets verder op staat wel:
For those not running the open source version, check with your vendor for a patch.
Maar hoewel open source meestal GPL of BSD-licenced is kan het ook best freeware zijn. Deze patch is dus voor de freeware versie van Sendmail. Als jij een versie met een andere licentie beheert moet je volgens Sendmail.org naar je verkoper toe gaan :)
bobsh @Verwijderd30 maart 2003 18:09
de patch wel :)
The Third Man 30 maart 2003 18:43
"Enigsinds" (alinea 1, regel 2) moet zijn "Enigzins". Nederlands is ook moeilijk :Y)
GraveR @The Third Man30 maart 2003 18:58
Voorals als het enigszins moet zijn :D
AuteurNetman768 @The Third Man30 maart 2003 21:32
Met nog een s drbij:
´enigs·zins (bw.)

1 een weinig => enigermate, lichtelijk, tot op zekere hoogte, in zekere mate, min of meer, een beetje2 op welke wijze dan ook
Fixed, tnx :)

[edit] GraveR gemist, ook tnx :P
Verwijderd 30 maart 2003 23:11
Of gewoon met outlook :Y)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq