News Fix steht bereit: Schwachstelle in Exim gefährdet Mailserver weltweit

[rarp]

Man kann die Uhr danach stellen, dass Kommentare wie "haha, das kann bei Open Source nicht passieren" kommen. Damit wird ein Ungleichgewicht geschaffen, was besagt, dass Open Source sicherer sei als Closed Source. Nun gibt es Leute die darauf hinweisen, dass dem nicht so ist, um das Gleichgewicht wieder herzustellen

Ahh, die Opferrolle. Unser schönes Land geflutet mit metastasierender Open-Source-Software, wilde Horden verbreiten allerorten dreiste Lügen über das Gute und Wahre. Im ganzen Land? Nein! Ein von unbeugsamen Windows-Nutzern bevölkertes Forum hört nicht auf, dem übermächtigen Eindringling wacker Widerstand zu leisten.

 

[Schinken42]

Das sit doch relativ einfach - man nehme sich eine x-beliebige News zu einem Sichehreitsleck bei closed source Software und schaue in die Kommentare. Man kann die Uhr danach stellen, dass Kommentare wie "haha, das kann bei Open Source nicht passieren" kommen.

Das macht die Kommentare als "haha, mit Open Source kann es doch passieren" nicht intelligenter. Das ist halt dasselbe Niveau.

Damit wird ein Ungleichgewicht geschaffen, was besagt, dass Open Source sicherer sei als Closed Source.

Da wird kein "Ungleichgewicht geschaffen", was auch immer das heißen soll, da wird einfach Unsinn erzählt. Wer behauptet irgendeine Software wäre aus irgendeinem Grund 100% sicher hat die Materie nicht begriffen.

Nun gibt es Leute die darauf hinweisen, dass dem nicht so ist, um das Gleichgewicht wieder herzustellen.

Nein, nur ebenso höhnische Kommentare.
Zumal der Hinweis Recht unnütz erscheint, immerhin dreht sich der ganze Artikel um eine Sicherheitslücke in einer Open Source Anwendung. Darunter muss man nun wirklich nicht darauf hinweisen, dass Open Source Anwendungen Sicherheitslücken haben können.

Denn am Ende des Tages ist es so, ganz egal, ob Open Source / Closed Source, hinter beidem sitzen Menschen und die machen nun mal Fehler.

Ja.

Die Mär, dass Open Source deswegen sicherer wäre, weil jeder reinschauen kann, hält sich halt hartnäckig,

Weil es stimmt. Verstehe bitte den Unterschied zwischen "absolut sicher" und tendenziell (!!!) sicherer.

was einigen sauer aufstößt... Und daher ist es mE richtig und wichtig hier darauf hinzuweisen, dass Open Source nicht zwnagsläufig sicherer bedeutet.

Zwangsläufig sowieso nicht.

Alle Datenerhebungen hierzu zeigen aber, dass Lücken in Open Source Anwendungen schneller gefixt werden als in Closed Software.

Hier musst du aber ebenfalls begreifen, dass es selbstverständlich trotzdem Closed Software gibt die im Schnitt schnellere Fixes bekommt als eine Open Source Alternative.
Das ist nicht unmöglich und Niemand behauptet sowas. Es ist nur sehr selten. Meistens ist es schlicht andersherum.
Meistens ist Open Source sicherer.

 

[cbtestarossa]

Grund für die Verzögerungen waren offenkundig Kommunikationsprobleme. So behauptet Schlittermann, das Entwicklerteam von Exim habe gleich nach der ersten Kontaktaufnahme der ZDI im Juni 2022 weitere Details angefordert, jedoch keine Antwort erhalten, mit denen das Team hätte arbeiten können.

Antwort wie? Morse, Rauchzeichen, Tele, Fax, Chat, Email, sonstiges?

Aber selbst mal nachfragen auf die Idee kommt man nicht wenn die Gegenseite mal nicht antwortet?
Gilt für beide. Speziell wenn man weiß dass nicht immer alles ankommt mal was anders verwenden.

 

[Termy]

Aber wenn Du es mach fachlich wissen willst:

https://madaidans-insecurities.github.io/linux.html

(als Beispiel)

Liest du deine Links überhaupt? Dein Beispiel hat rein gar nichts mit der Frage zu tun, ob FOSS-Software tendenziell weniger Angriffsfläche und Sicherheitslücken aufweist als proprietäre Software.
Aber verbohrt beschreibt das ganz gut - wenn auch eher in die andere Richtung

 

[SSD960]

Anderes verhalten zu MS? Nein. Schon schade

 

[dev/random]

Es gibt eine Webseite dafür, die genau das auflistet.

Die listet aber nur Windows "Features" und keine Komponenten. Ist Dir bewusst das Microsoft in Windows etliche Open Source Komponenten wie z.B. openssh und curl integriert und diese aber nicht ausreichend pflegt?
Nur ein Beispiel: curl remote code execution fix dauert über 1 Jahr:
https://www.borncity.com/blog/2022/...chstelle-cve-2021-22947-ein-zhes-unterfangen/

Ähnliche Probleme findet man bei sehr vieler kommerzieller Software, da Komponenten-Abhängigkeiten für Kunden in der Regel nicht nachvollziehbar sind und vom Hersteller häufig nicht vernachlässigt werden.

Open Source liefert die Transparenz die für einen besseren Support notwendig ist.

 

[andy_m4]

exim ist immer noch sehr verbreitet. Und das, obwohl es eigentlich bessere Alternativen gibt.
Wenns ganz klein/simpel sein soll dma
Ansonsten OpenSMTP
Oder wenns mehr sein soll halt postfix

 

[Unnu]

Das Problem ist das selbe, die statisch gelinkten Bestandteile veraltet, wenn der Anbieter den keinen Aufwand in "Dependency management" steckt.

Naja, das „erledigt“ sich demnächst wenn dann die SupplyChain-Regularien greifen.
Ich „freue“ mich schon auf die ganzen SBOMs der Lieferanten. … und unsere eigenen. Seufz.

Ergänzung (1. Oktober 2023)

Ähnliche Probleme findet man bei sehr vieler kommerzieller Software, da Komponenten-Abhängigkeiten für Kunden in der Regel nicht nachvollziehbar sind und vom Hersteller häufig nicht vernachlässigt werden.

Siehe meine Antwort.
Spätestens der CSA der EU wird damit Schluss machen.

 

[Rickmer]

In freier Wildbahn nicht, ich hab auch damals nicht in die Logs geschaut. Aber wie gesagt - mit geschlossenem Port 25 ging es trotzdem. Werde ich bei Gelegenheit nochmal testen.

Wenn du das machst, bitte dir auch von einem M365 Konto aus eine Mail versuchen - bei Exchange ist ausschließlich Port 25 in der Doku für Mailflow zwischen Servern gelistet und das hat immerhin ~40% Marktanteil.

Mich dann gerne auch anpingen, das Ergebnis interessiert mich.

 

[gaym0r]

@Bob.Dig : Falls Du BGP kennst - das ist, vereinfacht gesagt, das Protokoll zwischen den großen Routern der Netz- und RZ-Betreiber - dann ist "unverschlüsseltes WLAN" nicht weit weg.

Wenn man selbst nicht weiß was BGP ist, sollte man solche Sätze nicht verfassen...

 

[PieczonyKurczak]

Mhhh lecker, eine sicherheitslücke ohne Fix / Patch und auch noch gleich ein Mail-Server?

Das riecht nach ordentlich Ärger gewürzt mit nervöses schwitzen und ggf. Überstunden.

 

[GrumpyCat]

Ich verstehe das Problem nicht. Unverschlüsselte Verbindungen auf Port 25 verbieten. Die verschlüsselten Verbindungen sind ja scheinbar nicht betroffen.

Die Beschreibung der Sicherheitslücke gibt nicht viel her, anscheinend geht es aber um den AUTH-Befehl, und der muss natürlich auch via TLS/SSL vom Mailserver behandelt werden können.

Ergänzung (1. Oktober 2023)

Exim falls vorinstalliert sofort zu deinstallieren und gegen postfix oder Sendmail/qmail auszutauschen.

sendmail? Das ist doch das Beispiel für strukturell veraltete Software mit Sicherheitsproblemen en Masse schlechthin. Finger weg.

qmail hat einen guten Track Record und wurde auch mit Sicherheit im Hinterkopf entwickelt, ja.

 

[andy_m4]

sendmail? Das ist doch das Beispiel für strukturell veraltete Software mit Sicherheitsproblemen en Masse schlechthin. Finger weg.

sendmail ist per default bei FreeBSD dabei. Allerdings immerhin nur als lokaler Mailer eingerichtet ohne über Netz erreichbar zu sein. Außerdem wird der in der kommenden Version 14 durch den DragonFly Mail Agent ersetzt.

 

[GrumpyCat]

sendmail ist per default bei FreeBSD dabei.

Naja die Wege der BSDs sind unergründlich.
https://en.m.wikipedia.org/wiki/Sendmail#Security

 

[andy_m4]

Naja die Wege der BSDs sind unergründlich

Wie gesagt: Er ist per Voreinstellung nicht über Netz erreichbar, aber ja. Der Schritt den durch dma abzulösen ist sicherlich überfällig.
Und wer halbwegs ernsthaft Mail machen will der hat ihn auch schon bisher nicht mehr genutzt.

 

[freshprince2002]

Wenn 15 Monate nicht reagiert wird, dann ist es keine Sicherheitslücke, sondern eine Backdoor.

 

[joshim]

Ach nein? Die Commit-Historie und Reaktion auf Issues ist da schon ein recht guter Indikator...

Das ist das, was sich Linux Fans immer vorlügen.

 

[Snowi]

Was ist daran vorlügen? Ernst gemeinte Frage. Dass diese beiden Punkte keine Hinweise geben? Oder dass da sowieso kaum jemand drauf schaut? Oder was meinst du?

 

[SSD960]

Das ist das, was sich Linux Fans immer vorlügen.

Na jetzt übertreibst du gewaltig. Was ist denn mit den gravierenden Exchange Lücken?

 

[Cool Master]

1.) Ich wüsste nicht was gegen die Verwendung von Port 25 spricht. Das bedeutet ja nicht, dass die Kommunikation unverschlüsselt erfolgt. Der Großteil der Mails kommt TLS verschlüsselt über Port 25. Es wäre mir auch neu, dass den irgendjemand für die Server zu Server Kommunikation sperrt.

So sieht es aus! Der Port sagt erstmal 0 über den Status von SSL/TLS aus.