Abo
  • Services:
Anzeige

Kritische Sicherheitslücke in Sendmail

Spezielle E-Mail ermöglicht Root-Rechte auf verwundbaren Systemen

Internet Security Systems (ISS) hat eine Sicherheitslücke im Sendmail Mail Transfer Agent (MTA) entdeckt, dem noch immer am weitesten verbreiteten MTA mit einem geschätzten Marktanteil zwischen 50 Prozent und 75 Prozent. Durch einen Buffer-Overflow ist es möglich, auf einem verwundbaren System Root-Rechte zu erlangen.

Da MTAs in der Regel aus dem Internet erreichbar sind, schützen Firewalls oder Paketfilter nicht vor Ausnutzung der entdeckten Sicherheitslücke. Für besonders gefährlich halten die Sicherheitsexperten das Sicherheitsloch, da es durch eine E-Mail ausgenutzt werden kann und der Angreifer keine speziellen Kentnisse des angegriffenen Systems benötigt.

Anzeige

Betroffen von der Sicherheitslücke ist Sendmail in Versionen zwischen 5.79 und 8.12.7 auf x86, möglicherweise aber auch auf anderen Architekturen.

Das entdeckte Problem verbirgt sich in der Verarbeitung und Auswertung der Mail-Header-Felder während einer SMTP-Transaktion. Insbesondere wenn Sendmail Felder mit E-Mail-Adressen verarbeitet, versucht Sendmail, diese zu validieren. Dabei werden verarbeitete Daten in einem statischen Puffer gespeichert, zu dem Sendmail keine neuen Zeichen hinzufügt, sollte er voll sein. Sendmail enthält einige Sicherheitschecks um zu prüfen, dass Zeichen korrekt verarbeitet werden, doch eine dieser Überprüfungen sorgt - eine entsprechende E-Mail-Adresse vorausgesetzt - für einen Pufferüberlauf.

Sollte diese Sicherheitslücke ausgenutzt werden, hinterlässt dies zudem keine Einträge in den Logdateien.

Unter sendmail.org findet sich eine neue Version von Sendmail, die das Sicherheitsproblem behebt. Nutzer der kommerziellen Version erhalten unter sendmail.com einen Patch. Für MacOS X 10.2.4 bietet Apple ebenfalls einen entsprechenden Patch an.


eye home zur Startseite
dickhead 05. Mär 2003

werdet ihr für solche aussagen eigentlich gut bezahlt, ja?

Robert M. 04. Mär 2003

Nö, für sowas gibt es JIT-Compiler (just in time-compiler), der kompiliert bei...

dev0 04. Mär 2003

Jepp, Die US-Regierung und der sendmail-Bug[1] [1] http://heise.de/newsticker/data/jk-04...

dev0 04. Mär 2003

Die sog. Hobby-/Amateurprogrammierer (wie du sie bezeichnest) haben mittlerweile schon...

Marc1 04. Mär 2003

naja unter seeehr Schnell meinst du wohl eher VB-Schnell was ;-) Java wird nun mal...



Anzeige

Stellenmarkt
  1. Kommunales Rechenzentrum Niederrhein GmbH, Kamp-Lintfort
  2. Sky Deutschland GmbH, Unterföhring
  3. Automotive Safety Technologies GmbH, Ingolstadt
  4. Zurich Gruppe Deutschland, Bonn


Anzeige
Spiele-Angebote
  1. (-80%) 3,99€
  2. 1,29€
  3. (-80%) 4,99€

Folgen Sie uns
       

  1. LAA

    Nokia und T-Mobile erreichen 1,3 GBit/s mit LTE

  2. Alcatel 1X

    Android-Go-Smartphone mit 2:1-Display kommt für 100 Euro

  3. Apple

    Ladestation Airpower soll im März 2018 auf den Markt kommen

  4. Radeon Software Adrenalin 18.2.3

    AMD-Treiber macht Sea of Thieves schneller

  5. Lifebook U938

    Das fast perfekte Business-Ultrabook bekommt vier Kerne

  6. Wochenrückblick

    Früher war nicht alles besser

  7. Raumfahrt

    Falsch abgebogen wegen Eingabefehler

  8. Cloud

    AWS bringt den Appstore für Serverless-Software

  9. Free-to-Play-Strategie

    Total War Arena beginnt den Betabetrieb

  10. Funkchip

    US-Grenzbeamte können Pass-Signaturen nicht prüfen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

Age of Empires Definitive Edition Test: Trotz neuem Look zu rückständig
Age of Empires Definitive Edition Test
Trotz neuem Look zu rückständig
  1. Echtzeit-Strategie Definitive Edition von Age of Empires hat neuen Termin
  2. Matt Booty Mr. Minecraft wird neuer Spiele-Chef bei Microsoft
  3. Vorschau Spielejahr 2018 Zwischen Kuhstall und knallrümpfigen Krötern

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Re: Habe noch nie verstanden...

    Petterson | 00:31

  2. Re: klar Fehler passieren

    ecv | 00:27

  3. Re: LAA mit bereits erhältlichen Geräten

    gaym0r | 00:21

  4. Re: Anschlüsse!

    grorg | 24.02. 23:45

  5. Re: 2018

    kendon | 24.02. 23:35


  1. 22:05

  2. 19:00

  3. 11:53

  4. 11:26

  5. 11:14

  6. 09:02

  7. 17:17

  8. 16:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel