:

Szerző: roberto

2003. március 6. 00:07

A levelezőszerver és a Delírium Utolsó Fázisa

[SearchSecurity.com] A héten a világ e-mail

[SearchSecurity.com] A héten a világ e-mail forgalmának jelentős részét (körülbelül 50-75 százalékát) továbbító Sendmail nevű, UNIX, Linux és Windows rendszerekhez egyaránt elérhető szerverszoftverben távolról is kihasználható biztonsági problémát találtak. Néhány órával a levelezőszerverek rendszergazdáit szoftverfrissítésre késztető Sendmail-probléma nyilvánosságra hozatala után egy biztonsági kérdésekkel foglalkozó független lengyel csoport olyan kódot tett közzé, amely képes kihasználni a hibát egy bizonyos Linux-disztribúción (Slackware).

A négy informatikushallgatóból álló LSD-csoport (Last Stage of Delirium, azaz a Delírium Utolsó Fázisa) az említett kódot a BugTrack weboldalán publikálta. A Sendmailen a biztonsági rést egy puffertúlcsordulási hiba nyitja meg, amely lehetővé teszi akár távoli felhasználók számára is a rendszergazdai jogkörrel való kódvégrehajtást. Az LSD-csoport a hibát kihasználó kódot részletesen kommentálta is, így könnyebben tanulmányozható a probléma.

Eric Allman, a Sendmail egyik fejlesztője és a Sendmail kereskedelmi változataival foglalkozó Sendmail Inc. műszaki vezérigazgatója egy ma reggel adott interjújában elmondta, hogy ugyan még nem próbálta ki az LSD-csoport kódját, de semmi oka sincs kételkedni annak működésében. Allman egyébként jobban örült volna annak, ha a lelkes fiatalok még várnak néhány napot a biztonsági hibát kihasználó kód közzététele előtt.

Mivel a probléma kihasználásának módja platformról platformra változik, és alapos rendszerismeretet követel, többek szerint a helyzet nem is olyan súlyos. Ennek ellenére a vezető Linux-disztribútorok már kiadták a Sendmail biztonsági frissítéseit.

Derítsd ki, hol tartasz a felhőérettségben a Devertix Cloud Readiness felmérésével, mellyel átfogó képet kaphatsz vállalatod felkészültségéről. Töltsd ki 3 perces, ingyenes felmérőnket!

a címlapról

Hirdetés

Ollé, lesz SYSADMINDAY!

2025. július 1. 15:57

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, kvízek, szakmázás, barátok, még több sörcsap.