[Announce] Diverses Software-Updates / postfix auf stinky

Thomas Bader thomasb at trash.net
Do Aug 8 01:37:12 CEST 2002


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo zusammen

Ihr werdet es schon mitgekriegt haben: TLS auf stinkys
Postfix (unsere Mailserver Software) Installation war seit
etwa Mitte letzter Woche deaktiviert.

Ihr duerft euch dafuer bei Murphy bedanken, der wiedermal
tuechtig zugeschlagen hat.  Die Ausgangssituation: Ihsan,
unser Operator ist/war in der RS, ich war in den Ferien
(ohne Computer) und ich habe Lukas Beeler das root-Passwort
hinterlassen.

Zwei Tage, nachdem ich abgereist bin, kamen diverse
Sicherheitsloecher in PHP, mod_ssl und OpenSSL zu Tage.
Lukas Beeler konnte praktisch alle Sicherheitsloecher auf
stinky stopfen -- bis auf eines: Postfix war statisch gegen
OpenSSL gelinkt und musste neu kompiliert werden, damit es
die neue, gefixte OpenSSL Version benutzt.  Lukas war sich
jedoch nicht sicher, wie Postfix genau zu kompilieren ist.
Auch bei Ihsan, der ueber den 1. August beurlaubt war
herrschte Unklarheit ueber die Installation von Postfix.

Ueber SMS haben wir dann kurzerhand abgemacht, dass wir TLS
in Postfix lieber deaktivieren, als moeglicherweise einen
Angreifer durch die Luecke in OpenSSL einzuladen (denn
schliesslich gab' es ja bereits fertige Exploits).

Ihre Entscheidung, Postfix nicht anzufassen war genau
richtig -- denn schliesslich ist dieser Teil von trash.net
ziemlich heikel und muss immer richtig funktionieren, damit
wir keine Mails verlieren. Wir werden auch in Zukunft nach
dem Motto arbeiten, dass Sicherheit immer vor Features
steht.

Mittlerweile laeuft TLS auf Postfix wieder, ich habe es neu
kompiliert und dabei auch gleich auf den neusten Snapshot
aktualisiert.

Bedanken moechte ich mich an dieser Stelle bei Lukas Beeler
und Ihsan Dogan, die sich waehrend meiner Abwesenheit um das
System gekuemmert haben.

Falls ihr noch etwas findet, dass nicht funktioniert, meldet
euch doch bitte.

Gruesse
   Thomas

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Weitere Infos: siehe http://www.gnupg.org

iD8DBQE9Ua54eQV2j3WE9dgRAlcFAJsEzTemWCO3F3lsPgyPK0INlOowaACeJw0Q
Gb2Z+WCFzSgYPLW4iH927F8=
=Niow
-----END PGP SIGNATURE-----



More information about the announce mailing list