Wenige Tage bevor alle Systemadministratoren sich zu ihren Familien in die verdienten Weihnachtsferien zurückziehen, lässt SEC Consult die Bombe platzen: Die Antispam-Massnahmen der weitverbreitesten Mailserver können ausgehebelt werden, sogar die Vortragsreise ist schon geplant. Nur: Der weitverbreiteste Mailserver weiss davon nichts, seine User sind ungeschützt.
#SMTP #SMTPSmuggling #Postfix #SECconsult #disclosure
https://dnip.ch/2023/12/22/nicht-wirklich-responsible-disclosure-die-extraportion-spam-ueber-die-festtage/
Conversation
Notices
-
Embed this notice
Marcel Waldvogel (marcel@waldvogel.family)'s status on Friday, 22-Dec-2023 15:13:13 JST 
Marcel Waldvogel
-
Embed this notice
:blobcathug: (jain@blob.cat)'s status on Friday, 22-Dec-2023 21:06:53 JST 
:blobcathug:
@exception @marcel @adfichter sehe ich gar nicht so.
Responsible Disclosure ist aus meiner Sicht das einzige Verantwortungsvolle. Nicht auszudenken was passiert wäre bei den heiklen CPU Sidechannel attacks in den letzten Jahren -
Embed this notice
Stefan Thöni (exception@mastodon.savvy.ch)'s status on Friday, 22-Dec-2023 21:06:59 JST 
Stefan Thöni
@marcel @adfichter Responsible disclosure geht immer von der unwahrscheinlichen Annahme aus, dass die betreffende Person die erste und einzige ist, welche eine Schwachstelle findet. Als Enduser und Admin möchte ich aber selber beurteilen, welche Sofortmassnahmen notwendig sind. Deshalb: Full Disclosure sofort!
-
Embed this notice
Marcel Waldvogel (marcel@waldvogel.family)'s status on Friday, 22-Dec-2023 21:07:02 JST
Marcel Waldvogel
So: Der Beitrag ⬆️ wurde nochmals überarbeitet. Danke u.a. @adfichter für das wie üblich sehr konstruktive Feedback!
Jetzt sollte er auch für technische Laien/Laiinnen verständlich sein. Wenn nicht: Sagt mir, wo euch noch etwas unklar ist!
https://dnip.ch/2023/12/22/nicht-wirklich-responsible-disclosure-die-extraportion-spam-ueber-die-festtage/ -
Embed this notice
:blobcathug: (jain@blob.cat)'s status on Friday, 22-Dec-2023 21:19:01 JST
:blobcathug:
@exception @adfichter @marcel Wenn das damals als Full Disclosure durchgegangen wäre, hätten mit grösster Wahrscheinlichkeit alle Hosting provider innert kürzester Zeit ungewollte Datendiebstähle.
Ja es ist wichtig alle Details zu veröffentlichen, ja es ist aber auch wichtig einen Patch bereitstellen zu können bei kritischer Infrastruktur und das wäre hier nicht der Fall gewesen, denn die Fehler waren unglaublich einfach zu reproduzieren und fixes dazu extrem komplex. -
Embed this notice
Stefan Thöni (exception@mastodon.savvy.ch)'s status on Friday, 22-Dec-2023 21:19:06 JST
Stefan Thöni
@Jain @adfichter @marcel Wir hätten die Möglichkeit gehabt, wirklich sensitive Dinge auf einer dedizierten CPU laufen zu lassen. Oder gewisse Daten gar nicht preis zu geben. Also eine informierte Entscheidung zu treffen, statt von Geheimdiensten nach gusto ausspioniert zu werden.
-
Embed this notice
:blobcathug: (jain@blob.cat)'s status on Friday, 22-Dec-2023 21:23:25 JST
:blobcathug:
@snacks @adfichter @exception @marcel Rowhammer ist keine CPU Sidechannel Attacke und man kann Rowhammer, obwohl eine Restgefahr besteht, relativ gut eindämmen. -
Embed this notice
snacks (snacks@netzsphaere.xyz)'s status on Friday, 22-Dec-2023 21:23:33 JST 
snacks
@Jain @adfichter @exception @marcel rowhammer geht glaub immer noch? das auch juckt keinen -
Embed this notice
:blobcathug: (jain@blob.cat)'s status on Friday, 22-Dec-2023 21:36:29 JST
:blobcathug:
@chpietsch @adfichter @exception @marcel Meine Aussagen sind rein ethischer Natur und meine Überzeugung. Die Realität sieht leider anders aus und im Zusammenhang mit Respobsible Disclosure sind Geheimdienste ein nahezu unlösbares Problem. -
Embed this notice
Christian Pietsch 🍑 (chpietsch@digitalcourage.social)'s status on Friday, 22-Dec-2023 21:36:31 JST 
Christian Pietsch 🍑
@Jain @adfichter @exception @marcel
Leider funktioniert #responsibleDisclosure nur dann wie gehofft, wenn es keinen Markt für #zeroDays und keine Geheimdienste gibt.
Deshalb: #fullDisclosure.
-
Embed this notice
Christoph Petrausch (hikhvar@norden.social)'s status on Sunday, 24-Dec-2023 17:14:54 JST 
Christoph Petrausch
@chpietsch @Jain @adfichter @exception @marcel und wie schnell es geht ein Exploit zu entwickeln manchmal, zeigt log4shell. Wir hatten innerhalb von 6h nach Veröffentlichung tausende Versuche das auszunutzen im AccessLog. Und gleichzeitig war nur noch on call aktiv, da abends. Und der guckt nicht in die Terrabytes an Access Logs. Dafür ist da zu viel anderer Noise drin.
Wären wir verwundbar gewesen, wir hätten keine Zeit gehabt.
:blobcathug: likes this. -
Embed this notice
Christoph Petrausch (hikhvar@norden.social)'s status on Sunday, 24-Dec-2023 17:14:55 JST
Christoph Petrausch
@chpietsch @Jain @adfichter @exception @marcel
Inwiefern hilft hier full disclosure? Angenommen zum Zeitpunkt X entdeckt jemand die Lücke. Vendoren brauchen 2 Monate um Patch zu erstellen und zu verteilen.
Bei Full Disclosure: sowohl Geheimdienste als auch alle anderen haben 2 Monate Zeit exploit zu entwickeln und einzusetzen.
Bei Responsible Disclosure: Geheimdienste haben Zeit 2 Monate Exploit zu entwickeln.
Es gibt nur ein Unterschied wenn es eine Mitigation via Config etc gibt.
-
Embed this notice
All GNU social JP content and data are available under the