Abo
  • Services:
Anzeige

Kritische Sicherheitslücke in Sendmail

Spezielle E-Mail ermöglicht Root-Rechte auf verwundbaren Systemen

Internet Security Systems (ISS) hat eine Sicherheitslücke im Sendmail Mail Transfer Agent (MTA) entdeckt, dem noch immer am weitesten verbreiteten MTA mit einem geschätzten Marktanteil zwischen 50 Prozent und 75 Prozent. Durch einen Buffer-Overflow ist es möglich, auf einem verwundbaren System Root-Rechte zu erlangen.

Anzeige

Da MTAs in der Regel aus dem Internet erreichbar sind, schützen Firewalls oder Paketfilter nicht vor Ausnutzung der entdeckten Sicherheitslücke. Für besonders gefährlich halten die Sicherheitsexperten das Sicherheitsloch, da es durch eine E-Mail ausgenutzt werden kann und der Angreifer keine speziellen Kentnisse des angegriffenen Systems benötigt.

Betroffen von der Sicherheitslücke ist Sendmail in Versionen zwischen 5.79 und 8.12.7 auf x86, möglicherweise aber auch auf anderen Architekturen.

Das entdeckte Problem verbirgt sich in der Verarbeitung und Auswertung der Mail-Header-Felder während einer SMTP-Transaktion. Insbesondere wenn Sendmail Felder mit E-Mail-Adressen verarbeitet, versucht Sendmail, diese zu validieren. Dabei werden verarbeitete Daten in einem statischen Puffer gespeichert, zu dem Sendmail keine neuen Zeichen hinzufügt, sollte er voll sein. Sendmail enthält einige Sicherheitschecks um zu prüfen, dass Zeichen korrekt verarbeitet werden, doch eine dieser Überprüfungen sorgt - eine entsprechende E-Mail-Adresse vorausgesetzt - für einen Pufferüberlauf.

Sollte diese Sicherheitslücke ausgenutzt werden, hinterlässt dies zudem keine Einträge in den Logdateien.

Unter sendmail.org findet sich eine neue Version von Sendmail, die das Sicherheitsproblem behebt. Nutzer der kommerziellen Version erhalten unter sendmail.com einen Patch. Für MacOS X 10.2.4 bietet Apple ebenfalls einen entsprechenden Patch an.


eye home zur Startseite
dickhead 05. Mär 2003

werdet ihr für solche aussagen eigentlich gut bezahlt, ja?

Robert M. 04. Mär 2003

Nö, für sowas gibt es JIT-Compiler (just in time-compiler), der kompiliert bei...

dev0 04. Mär 2003

Jepp, Die US-Regierung und der sendmail-Bug[1] [1] http://heise.de/newsticker/data/jk-04...

dev0 04. Mär 2003

Die sog. Hobby-/Amateurprogrammierer (wie du sie bezeichnest) haben mittlerweile schon...

Marc1 04. Mär 2003

naja unter seeehr Schnell meinst du wohl eher VB-Schnell was ;-) Java wird nun mal...



Anzeige

Stellenmarkt
  1. EUROP ASSISTANCE VERSICHERUNGS AG, München
  2. über Duerenhoff GmbH, Hamburg
  3. Helmsauer Curamed Managementgesellschaft und Beratungszentrum für das Gesundheitswesen GmbH, Nürnberg
  4. VDI Württembergischer Ingenieurverein e.V., Stuttgart


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. 299,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

  1. Star Wars - Die letzten Jedi

    Viel Luke und zu viel Unfug

  2. 3D NAND

    Samsung investiert doppelt so viel in die Halbleitersparte

  3. IT-Sicherheit

    Neue Onlinehilfe für Anfänger

  4. Death Stranding

    Kojima erklärt Nahtodelemente und Zeitregen

  5. ROBOT-Angriff

    19 Jahre alter Angriff auf TLS funktioniert immer noch

  6. Bielefeld

    Stadtwerke beginnen flächendeckendes FTTB-Angebot

  7. Airspeeder

    Alauda plant Hoverbike-Rennen

  8. DisplayHDR 1.0

    Vesa definiert HDR-Standard für Displays

  9. Radeon-Software-Adrenalin-Edition

    Grafikkartenzugriff mit Smartphone-App

  10. Datentransfer in USA

    EU-Datenschützer fordern Nachbesserungen beim Privacy Shield



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Thinkpad X1 Yoga v2 im Test: LCD gegen OLED
Thinkpad X1 Yoga v2 im Test
LCD gegen OLED

Samsung Gear Sport im Test: Die schlaue Sportuhr
Samsung Gear Sport im Test
Die schlaue Sportuhr
  1. Wearable Fitbit macht die Ionic etwas smarter
  2. Verbraucherschutz Sportuhr-Hersteller gehen unsportlich mit Daten um
  3. Fitbit Ionic im Test Die (noch) nicht ganz so smarte Sportuhr

Minecraft Education Edition: Wenn Schüler richtig ranklotzen
Minecraft Education Edition
Wenn Schüler richtig ranklotzen

  1. Wann kommen endlich Updates für alle Smartphones...

    Konstantin/t1000 | 21:11

  2. Re: mehr als 1000 cd/m² gibt es nicht?

    as (Golem.de) | 21:10

  3. Re: Rechtschreibung Überschrift

    Kakiss | 21:09

  4. Re: Ist dann eSIM endlich cool?

    angelodou | 20:59

  5. Re: Im Prinzip wie der 27UD88-W nur eben größer...

    Joker86 | 20:56


  1. 18:40

  2. 17:11

  3. 16:58

  4. 16:37

  5. 16:15

  6. 16:12

  7. 16:01

  8. 15:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel