ComputerBase Menü
Aktuelles

News Fix steht bereit: Schwachstelle in Exim gefährdet Mailserver weltweit

Termy schrieb:
Ach ja? Wann wurde das letzte Mal angekündigt, dass eine Windows-Komponente gerade keinen Maintainer mehr hat?
Zum Vergrößern anklicken....
Es gibt eine Webseite dafür, die genau das auflistet.
1696085968822.png

https://learn.microsoft.com/en-us/lifecycle/faq/windows
 
  • Gefällt mir
Reaktionen: Termy und truetone
Rickmer schrieb:
Server2Server läuft auf Port 25, auch wenn Clients andere Ports nutzen.
Zum Vergrößern anklicken....
Du meinst die Com innerhalb bestimmter NW Bereiche, die aber von außen derart nicht erreichbar sind. Ist in diesem Fall ja irrelevant.

Rickmer schrieb:
Als spontane Beispiele mal kurz Microsoft und Google angefragt, here you go:
Zum Vergrößern anklicken....
Das die großen Player auch für den letzten Hinterweltler erreichbar sein wollen, ist ja jetzt auch nicht gerade der Vorzeige-Fall für empfehlenswerte Portkonfigurationen :D

Dennoch bleibe ich dabei:
Solange der Relay Port nicht zwingend erforderlich ist, gehört der zu.
 
xexex schrieb:
Es gibt eine Webseite dafür, die genau das auflistet.
Zum Vergrößern anklicken....
Die aber auch nicht alles beinhalten wird, sondern nur Sachen, die offiziell nicht mehr betreut werden. Altlasten hat man aber überall, auch bei Microsoft.
https://blog.0patch.com/2017/11/did-microsoft-just-manually-patch-their.html
2017 wurde eine Komponente von Office, dessen Builddatum im Jahr 2000 liegt, scheinbar händisch gefixt (Also nicht im Quellcode, sondern das Binary wurde manuell gepatcht). Warum kann man nur raten, sah aber schon danach aus, dass man nicht mal mehr den Quellcode dafür hatte.
Erinnert mich auch an Spiele, die als gecrackte Version vom offiziellen Publisher in Steam verkauft werden, weil man es dort scheinbar nicht mehr schafft, den Kopierschutz o.ä. von damals zu entfernen, und es dann einfacher ist, einfach gecrackte Spiele zu verkaufen.
 
  • Gefällt mir
Reaktionen: konkretor und Termy
=dantE= schrieb:
Du meinst die Com innerhalb bestimmter NW Bereiche, die aber von außen derart nicht erreichbar sind. Ist in diesem Fall ja irrelevant.
Zum Vergrößern anklicken....
Wenn Du keine Ahnung hast, einfach mal die Finger still halten.
 
  • Gefällt mir
Reaktionen: arktom und Der Lord
=dantE= schrieb:
Du meinst die Com innerhalb bestimmter NW Bereiche, die aber von außen derart nicht erreichbar sind. Ist in diesem Fall ja irrelevant.
Zum Vergrößern anklicken....
Nicht der, den du zitiert hast, aber: Ich sehe es nicht so, dass Port 25 zwingend notwendig ist, aber es ist halt immer noch der Default zwischen Mailservern, und damit sind keine internen Sachen gemeint. Wie schon geschrieben von mir: Port 25 heißt erst mal nichts. Die wenigsten Mailserver nehmen auf Port 25 noch unverschlüsselten Traffic entgegen. Ohne Handshake wird abgebrochen. Aber der Port ist und bleibt bei den meisten Servern geöffnet, nur eben beschränkt auf TLS/STARTTLS Verbindungen.
 
  • Gefällt mir
Reaktionen: =dantE= und Rickmer
Snowi schrieb:
Unter Linux generell z.B. Postfix, Sendmail, Postmaster, qmail, Smail (Liste von Wikipedia, gibt bestimmt noch andere). Ich kenne davon allerdings nur Sendmail und Postfix, wobei ich letzteres, also Postfix, selbst nutze. Unter Windows z.B. noch Exchange.


Kommt etwas auf die Distro an, aber hier sehe ich auch eher das Problem der Auswahl. Open Source garantiert dir ja nichts. Wenn man eine Distro mit schlechtem Update-Support nimmt, weil da nur 2 Personen hinter stehen, kann man das tun. Das kann aber dann auch schlecht sein. Ich nutze daher lieber die größeren Distros wie Debian und Fedora. Debian hat eine große Gemeinschaft hinter sich, ebenso wie Fedora, wobei Fedora mit RedHat noch ein großes Unternehmen hat. Ubuntu hat auch ein großes Unternehmen hinter sich.
Zum Vergrößern anklicken....

Mit den Distros werden das die meisten so handhaben, allein schon um bei Fehlermeldungen oder Problemen auf einer breiten Basis stehen zu können. Ob zu Anfängern überhaupt durchdringt welche neue Distro jetzt so hochkommt halte ich dann auch eher für unwahrscheinlich. Wer es sich zutraut kleine oder spezialisierte Distros zu benutzen muss dann halt einschätzen können, was das für Projekte sind.

xexex schrieb:
Das Problem von Open Source als System ist vor allem, dass jede Distribution aus hunderten solcher Projekte besteht mit zig verschiedenen Teams und Einzelpersonen die daran arbeiten oder auch nicht. Für den Endnutzer ist es kaum nachzuvollziehen, welche möglichen Bomben in seinem System schlummern.
Zum Vergrößern anklicken....

Wie von anderen auch schon geschrieben ist open-source ja beinahe überall drin. Reicht ja schon sich bei Programmen die Liste der verwendeten Softwarekompenenten und deren Lizenzen anzuschauen und auch diese Komponenten können ihrerseits wieder aus open-source-Komponenten bestehen usw. usf. Da werden doch auch closed-source-Entwickler wahrscheinlich keinen Überlick mehr haben können wer, wann und wie oft da noch rumwerkelt?
 
  • Gefällt mir
Reaktionen: Termy, AlphaKaninchen und Snowi
Ich ergänze hier auch mal die Meinung eines Entwicklers von Exim:
https://seclists.org/oss-sec/2023/q3/254
The ZDI contacted us in June 2022. We asked about details but didn't get
answers we were able to work with.
Next contact with ZDI was in May 2023. Right after this contact we
created project bug tracker for 3 of the 6 issues. 2 high scored of them
are fixed (OOB access). A minor scored (info leak) is fixed too.
Fixes are available in a protected repository and are ready to be
applied by the distribution maintainers.
The remaining issues are debatable or miss information we need to fix
them.
We're more than happy to provide fixes for all issues as soon as we
receive detailed information.
Zum Vergrößern anklicken....
Kann ich natürlich nicht beurteilen, wie die Mails vom ZDI inhaltlich zu bewerten sind. Da es aber zumindest kein komplett unbekannter Einsender ist, sondern ein Team von TrendMicro, kann man zumindest annehmen, dass die Lücke eine gewisse Kritikalität hat.

Bei Heise hat es der User pi ganz passend formuliert:
Kurzfassung: Die Entdecker der Luecken und das Exim-Team hatten wohl
schlecht kommuniziert. Zuwenig Info von den Entdeckern, um das Problem
zu reproduzieren, und zuwenig Nachfrage vom Exim-Team nach Details.
Zum Vergrößern anklicken....
 
xexex schrieb:
Es gibt eine Webseite dafür, die genau das auflistet.
Zum Vergrößern anklicken....
Die kannte ich tatsächlich nicht - allerdings hat man natürlich auch keinerlei Ahnung, wie aktuell die Liste ist oder wie lange eine Komponente verwaist sein muss, um dort gelistet zu werden.

Davon abgesehen bleibst du Antworten auf all die anderen Einwände zu deinen Darstellungen bislang schuldig.
 
  • Gefällt mir
Reaktionen: Bhaal3010
xexex schrieb:
So viel zu Open Source und Sicherheit, hoffentlich wird diese Lücke bald geschlossen.
Zum Vergrößern anklicken....
Was soll das denn heißen? Du kannst hergehen und die Lücke sogar selbst schließen - Code ist ja öffentlich.
 
  • Gefällt mir
Reaktionen: SIR_Thomas_TMC, konkretor, Bigfoot29 und 2 andere
Blutomen schrieb:
Wer nutzt denn noch Port 25?
Heute wird doch eigentlich nur noch 587 verwendet, weil verschlüsselte Verbindung.

Kenne keine Firma, die aufm Port 25 noch was offen hat, eben weil man sonst DSGVO Dramen bekommen kann.
Zum Vergrößern anklicken....
Port 25 ist weiterhin der Standardport für SMTP-Relay. Wenn der Mailserver also auch Emails zuverlässig weiterschicken können soll, dann sollte man Port 25 nicht deaktivieren.
 
  • Gefällt mir
Reaktionen: konkretor und Bigfoot29
Termy schrieb:
auch nur ein einziges solches Beispiel
Zum Vergrößern anklicken....

Ich schriebe ja "wie" - daher ist "genau" hier falsch ;-) Aber für Dich gerne:

https://www.computerbase.de/forum/t...zu-microsofts-quellcode.1993906/post-25104868

https://www.computerbase.de/forum/t...zu-microsofts-quellcode.1993906/post-25105309

(wenngleich er es folgend eisnchränkt)

https://www.computerbase.de/forum/t...zu-microsofts-quellcode.1993906/post-25105484

https://www.computerbase.de/forum/t...zu-microsofts-quellcode.1993906/post-25106172


Zu mehr hab ich jetzt keine Lust. Und zum Haare spalten auch nicht ....
 
xexex schrieb:
Hinter jedem Hersteller steht jemand der wirtschaftliche Interessen hat, dass sein Produkt weiter genutzt wird und dementsprechend versucht ein Projekt zu pflegen. Ist dir denn bekannt, wer denn hinter den diversen Open Source Tools steckt? Prüfst du jedes einzelne? Was ist wenn jemand keine Lust/Zeit/Interesse mehr hat?
Zum Vergrößern anklicken....
Ahja...
Wer kennt sie nicht? Diese Opensource Bastelbuden wo Bärtige Entwickler die 3 Wochen nicht geduscht haben in einer Garage hocken und frei von irgendwelchen finanziellen Ziele für die Verbesserung der Welt ihre Zeit aufwenden.
 
Snowi schrieb:
Ich sehe es nicht so, dass Port 25 zwingend notwendig ist, ...
Die wenigsten Mailserver nehmen auf Port 25 noch unverschlüsselten Traffic entgegen. Ohne Handshake wird abgebrochen. Aber der Port ist und bleibt bei den meisten Servern geöffnet, nur eben beschränkt auf TLS/STARTTLS Verbindungen.
Zum Vergrößern anklicken....
Stimmt nicht, Emails werden zwischen Servern in der Praxis ausschließlich an Port 25 gesendet.

Und hast Du irgendeine Statistik, die deine zweite Behauptung untermauern würde? Die meisten Server dürften wohl STARTTLS versuchen, die Email aber auch unverschlüsselt annehmen, solange keine Policy dagegen spricht.
 
  • Gefällt mir
Reaktionen: martinvw und Rickmer
DFFVB schrieb:
Zu mehr hab ich jetzt keine Lust. Und zum Haare spalten auch nicht ....
Zum Vergrößern anklicken....
Verständlich - da deine Beispiele nicht im Geringsten zu deiner Behauptung passen und eher meiner Beschreibung entsprechen ;)
Keiner der Posts behauptet, dass FOSS zwingend sicher und fehlerfrei ist - sondern lediglich, dass die Wahrscheinlichkeit, dass Bugs gefunden und im Schnitt die Geschwindigkeit, mit der sie behoben werden höher ist. :rolleyes:
 
  • Gefällt mir
Reaktionen: Marflowah
Blutomen schrieb:
Kenne keine Firma, die aufm Port 25 noch was offen hat, eben weil man sonst DSGVO Dramen bekommen kann.
Zum Vergrößern anklicken....
Naja Mailserver im eigenen Netz betreiben ist auch so ne Sache. Das machen immer weniger und daran wird deine Beobachtung liegen. Die großen Player haben eigene Mailserver und dann geht nichts ohne Port 25. Wenn man einen eigenen Exchange möchte und dennoch keinen Mailserver im offenen Netz betreiben möchte, gibt es zum Beispiel Tools wie POPcon, die dann die Mails vom Mailprovider abholen und mittels Relay verschicken, was dann aber oftmals auch wieder Port 25 sein muss, aber zumindest nur ausgehend.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

coffee4free
News Gnome-Desktop gefährdet: Schwachstelle erlaubt Schadcodeausführung unter Linux
2
Antworten
37
Aufrufe
4.263
Tenferenzu
Tenferenzu
coffee4free
News Schwachstelle in C-Bibliothek: Looney Tunables gefährdet zahlreiche Linux-Systeme
2 3
Antworten
55
Aufrufe
7.937
Lora
Lora
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz