[linux-l] *BSD und Linux (war: smfs 2GB )
Jan Krueger
jk at microgalaxy.net
Mo Sep 15 15:52:52 CEST 2003
On Monday 15 September 2003 14:55, Ralph Angenendt wrote:
> Jan Krueger wrote:
> > Die Einschränkung geht ja noch weiter "remote hole in the default
> > installation". Da in der default installation außer sendmail und ssh
> > quasi nix läuft ist das ja korrekt.
>
> Und sendmail hatte mindestens zwei remote holes in den letzten paar
> Monaten. Hmmmm.
Richtig, darüber hatte ich mich auch gewundert. Bis ich dann gelesen habe, daß
in der "default installation" (wie beworben) einige der sendmail-Probleme
nicht zum tragen kommen, da die entsprechenden dafür notwendigen
vorraussetzungen nicht konfiguriert waren, oder anders ausgedrückt: Die
standard sendmail.cf von openbsd verhinderte einen remote exploit. Dabei muß
man noch nach der OpenBSD Version (und damit auch sendmail version)
differenzieren: 3.3 ist zum Beispiel für
http://www.securityfocus.com/bid/8485 vom 25.8. nicht empfänglich.
3.2 prinzipiell schon nur siehe Zitat von OpenBSD.org:
"This only affects sendmail(8) configurations that use the "enhdnsbl" feature.
The default OpenBSD sendmail(8) config does not use this."
Und damit ist ein "remote hole in the default installation" einfach nicht
gegeben und die "Werbung" auf der Webseite weiterhin war.
Die weiteren 2 sendmail einträge auf bugtraq aus dem august sind erstmalig im
März aufgetreten und sind damit in 3.3 nicht vorhanden.
Ich finde es gut, daß Du diese Dinge anführst. Das gibt mir Gelegenheit die
Sachen genauer zu überprüfen. Bis jetzt ist noch alles in Ordnung :)
Gruß
Jan
Mehr Informationen über die Mailingliste linux-l