[Postfixbuch-users] [OT] eXtremail advocacy (was: Ressourcen einsparen?!)

Robert Felber r.felber at ek-muc.de
Mi Jan 16 09:48:54 CET 2008 

On Wed, Jan 16, 2008 at 04:44:23AM +0100, stepken wrote:
> Uwe Driessen schrieb:
> > Alexander Stoll schrieb: 
> >   
> >> stepken schrieb:
> >>
> >>     
> >>> endlose Liste. Ein kleines Juwel.
> >>>       
> >> ...und spätestens hier ist mein Interesse vollkommen erloschen:
> >>
> >> http://www.securityfocus.com/archive/1/482293
> >>     
> >
> > Immer dieses englische http://www.tecchannel.de/sicherheit/news/1736201/ für die gerne
> > alles auf deutsch lesen.
> >
> > Ich will dem Autor nicht zu nahe treten aber Sicherheit geht vor Sparsamkeit.
> > Dann doch lieber Geld in Leistung und Sicherheit investieren.
> >
> >
> > Mit freundlichen Grüßen
> >
> > Drießen
> >   
> Schrecklich, diese gefixten Sicherheitsbugs!

"eXtremail is prone to a buffer-overflow issue and DNS-spoofing vulnerabilities
 that could allow malicious users to trigger denial-of-service conditions,
 execute remote code with superuser privileges [...] These issues affect 
 eXtremail 2.1 and 2.1.1; other versions may also be affected." [1]


"eXtremail is prone to an integer-underflow vulnerability and multiple remote 
buffer-overflow vulnerabilities because it fails to perform adequate boundary 
checks on user-supplied input. Attackers can exploit these issues to execute 
arbitrary code with superuser privileges [...] These issues affect 
eXtremail 2.1.0 and 2.1.1; other versions may also be affected." [2]

"Current release: 2.1.1" [3]



1) http://www.securityfocus.com/bid/23577/discuss

2) http://www.securityfocus.com/bid/26074/discuss

3) http://www.extremail.com/ / http://extremail.com/downloads.html


Prinzipiell klingt eXtremail ja so interessant. Existierende Luecken finde ich,
so zum Testen, jetzt nicht sonderlich kritisch (bis auf die POP3 und SMTP AUTH 
Luecke, die heissen wuerde, POP3 und SMTP AUTH nicht nach aussen anbieten).

Sollte smtp, pop, imap etc wirklich als root laufen, waere allein das schon
ein no-go.

Was mich abhaelt ist, dass es scheinbar keine vernuenftige 
community bzw. Leute gibt, deren Mails (Ausdruck, Charisma, KnowHow) mich 
ueberzeugen. Pluss, deiner Beschreibung nach muesste das Exim, Sendmail,
Postfix etc in den Schatten stellen - allerdings koennte ich jetzt
keine Organisationen nennen, wo ich wuesste "da rennt eXtremail".




-- 
    Robert Felber (PGP: 896CF30B)
    Munich, Germany

Mehr Informationen über die Mailingliste Postfixbuch-users