[LUGA] Mit freundlicher Unterstützung von:
WSR

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] Remote Buffer overflow in sendmail



On Tue, Mar 04, 2003 at 08:24:07PM +0100, Alexander Hausner wrote:
> On Tuesday 04 March 2003 19:49, Peter Surda wrote:
> > Aus meiner Sicht ist ein Nachteil erst, wenn dadurch Schaden entsteht, oder
> > Risiko droht. Ich Update immer rechtzeitig, wenn etwas bekannt wird, und
> > meine Sendmails wurden nie missbraucht. Und ich warte ein Paar Dutzend
> > Rechner an verschiedenen Standorten.
> Und was soll das jetzt heißen? Ich würde mir schon ein bisschen überlegen
> welche Software ich einsetze, sonst kann ich gleich Windows nehmen ;-)
Entgegen der überwiegender Meinung unter Linuxlern glaube ich nicht, daß der
Einsatz von Windows per se unsicherer ist, als der Einsatz von Linux. In der
Praxis ist aber die Wartung schwieriger und teurer und die Admins/Benutzer
weniger erfahren. Ich setze profesionell Windows NICHT ein und habe es auf
keinem meiner Rechner. Nur manchmal arbeite ich damit oder mache ein kleines
Projekt dafür.

> > Du siehst das zu akademisch. Ich bin eher praxisorientiert, und am
> > wichtigsten halte ich es eine Sicherheitspolitik zu HABEN. Denn das ist
> > oftmals nicht der Fall. Die meisten Sicherheitsprobleme entstehen dadurch,
> > daß jemand nicht weiß, wie man sicherheitsbewußt mit einem Computer umgeht.
> Die Sicherheitspolicy nützt Dir gar nichts, wenn Du Dir nicht überlegst, wie
> Du bekannte und auch unbekannte Security Risiken minimieren kannst.
Genau das habe ich eben gemeint. Die meisten Systeme werden aufgesetzt und des
war's. Eine Sicherheitspolitik muß meiner Meinung nach:
- die Höhe des Risikos kennen
- aktiv sein

In der Praxis soll eine optimale Sicherheitslösung dadurch erreicht werden,
daß man die Differenz zwischen dem Wert der Sicherheitslösung und dem
erwarteten Wert dadurch verhinderter Sicherheitsproblemen maximiert.

> Was wäre gewesen wenn das Problem am Wochenende aufgetreten wäre, 
> während Du gerade mal Radfahren bist ;-) Pech oder was?
Dann würde ich sagen, die Sicherheitspolitik war falsch :-).

> Neiiiin, neiiiin dieser und ähnliche Bugs sind sicher noch nie benutzt worden,
> wer sollte denn sowas auch machen?
Wieso wirst du sakrastisch? Hast du ein Beweis oder nicht? Was waren die
Kosten für die Betroffenen, der durch dieses Sicherheitsproblem verursacht
wurde?

> > > wer schon mal mit spionage zu tun hatte, weiss wie eine professionell
> > > durchgefuehrte attacke aussieht.
> > Und der weiß auch, daß
> > - die Chancen dafür niedriger sind als für 31337 h4x0rs und Würmer
> > - ihn qmail davor nicht schützt
> Es macht es aber viel schwieriger.
Aber am allerersten Platz ist es eine Sicherheitspolitik, die es schwieriger
macht.

> > - es andere Maßnahmen erfordert um dem entgegenzuwirken
> Der Einsatz von qmail wäre schon einmal nicht schlecht, jetzt einmal nur
> MTA-Sicherheit betrachtet.
Es ist nur ein relativ kleines Stück von dem ganzen.

> > BTW ich betreibe sowohl sendmail als qmail.
> Macht nichts, ich betreibe kein sendmail mehr ;-)
Kennst du dann einen vacation-Klon der mit vmailmgr kompatibel ist und ein
Webmailinterface hat?

> Liebe Grüße
> 
> Alex
Mit freundlichen Grüßen

Peter Surda (Shurdeek) <shurdeek@panorama.sth.ac.at>, ICQ 10236103, +436505122023

--
/* vsprintf.c -- Lars Wirzenius & Linus Torvalds. */
/*
 * Wirzenius wrote this portably, Torvalds fucked it up :-)
 */

Attachment: pgpeHdq3xsiin.pgp
Description: PGP signature



powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010