Abo
  • Services:

Kritische Sicherheitslücke in Sendmail

Spezielle E-Mail ermöglicht Root-Rechte auf verwundbaren Systemen

Internet Security Systems (ISS) hat eine Sicherheitslücke im Sendmail Mail Transfer Agent (MTA) entdeckt, dem noch immer am weitesten verbreiteten MTA mit einem geschätzten Marktanteil zwischen 50 Prozent und 75 Prozent. Durch einen Buffer-Overflow ist es möglich, auf einem verwundbaren System Root-Rechte zu erlangen.

Artikel veröffentlicht am ,

Da MTAs in der Regel aus dem Internet erreichbar sind, schützen Firewalls oder Paketfilter nicht vor Ausnutzung der entdeckten Sicherheitslücke. Für besonders gefährlich halten die Sicherheitsexperten das Sicherheitsloch, da es durch eine E-Mail ausgenutzt werden kann und der Angreifer keine speziellen Kentnisse des angegriffenen Systems benötigt.

Stellenmarkt
  1. SIZ GmbH, Bonn
  2. ELAXY | CREALOGIX, Jever, Puchheim bei München, Stuttgart

Betroffen von der Sicherheitslücke ist Sendmail in Versionen zwischen 5.79 und 8.12.7 auf x86, möglicherweise aber auch auf anderen Architekturen.

Das entdeckte Problem verbirgt sich in der Verarbeitung und Auswertung der Mail-Header-Felder während einer SMTP-Transaktion. Insbesondere wenn Sendmail Felder mit E-Mail-Adressen verarbeitet, versucht Sendmail, diese zu validieren. Dabei werden verarbeitete Daten in einem statischen Puffer gespeichert, zu dem Sendmail keine neuen Zeichen hinzufügt, sollte er voll sein. Sendmail enthält einige Sicherheitschecks um zu prüfen, dass Zeichen korrekt verarbeitet werden, doch eine dieser Überprüfungen sorgt - eine entsprechende E-Mail-Adresse vorausgesetzt - für einen Pufferüberlauf.

Sollte diese Sicherheitslücke ausgenutzt werden, hinterlässt dies zudem keine Einträge in den Logdateien.

Unter sendmail.org findet sich eine neue Version von Sendmail, die das Sicherheitsproblem behebt. Nutzer der kommerziellen Version erhalten unter sendmail.com einen Patch. Für MacOS X 10.2.4 bietet Apple ebenfalls einen entsprechenden Patch an.



Anzeige
Hardware-Angebote
  1. beim Kauf ausgewählter Z370-Boards mit Intel Optane Speicher + Intel SSD
  2. (reduzierte Überstände, Restposten & Co.)
  3. 449€ + 5,99€ Versand

dickhead 05. Mär 2003

werdet ihr für solche aussagen eigentlich gut bezahlt, ja?

Robert M. 04. Mär 2003

Nö, für sowas gibt es JIT-Compiler (just in time-compiler), der kompiliert bei...

dev0 04. Mär 2003

Jepp, Die US-Regierung und der sendmail-Bug[1] [1] http://heise.de/newsticker/data/jk-04...

dev0 04. Mär 2003

Die sog. Hobby-/Amateurprogrammierer (wie du sie bezeichnest) haben mittlerweile schon...

Marc1 04. Mär 2003

naja unter seeehr Schnell meinst du wohl eher VB-Schnell was ;-) Java wird nun mal...


Folgen Sie uns
       


Bethesda E3 2018 Pressekonferenz -Live

Fallout 76 wird Multiplayer bieten, Starfield und Elder Scrolls 6 werden angekündigt und Bethesda bringt mit Rage 2 und Doom Eternal jede Menge Action: Konnte uns das im nächtlichen Stream begeistern?

Bethesda E3 2018 Pressekonferenz -Live Video aufrufen
Sun to Liquid: Wie mit Sonnenlicht sauberes Kerosin erzeugt wird
Sun to Liquid
Wie mit Sonnenlicht sauberes Kerosin erzeugt wird

Wasser, Kohlendioxid und Sonnenlicht ergeben: Treibstoff. In Spanien wird eine Anlage in Betrieb genommen, in der mit Hilfe von Sonnenlicht eine Vorstufe für synthetisches Kerosin erzeugt oder Wasserstoff gewonnen wird. Ein Projektverantwortlicher vom DLR hat uns erklärt, warum die Forschung an Brennstoffen trotz Energiewende sinnvoll ist.
Ein Bericht von Werner Pluta

  1. Deep Sea Mining Deep Green holte Manganknollen vom Meeresgrund
  2. Klimaschutz Unter der Erde ist das Kohlendioxid gut aufgehoben
  3. Physik Maserlicht aus Diamant

CD Projekt Red: So spielt sich Cyberpunk 2077
CD Projekt Red
So spielt sich Cyberpunk 2077

E3 2018 Hacker statt Hexer, Ich-Sicht statt Dritte-Person-Perspektive und Auto statt Pferd: Die Witcher-Entwickler haben ihr neues Großprojekt Cyberpunk 2077 im Detail vorgestellt.
Von Peter Steinlechner


    Business-Festival: Cebit verliert 70.000 Besucher und ist hochzufrieden
    Business-Festival
    Cebit verliert 70.000 Besucher und ist hochzufrieden

    Cebit 2018 Zur ersten neuen Cebit sind deutlich weniger Besucher als im Vorjahr gekommen. Dennoch feiern Messe AG, Bitkom und Aussteller den Relaunch der Veranstaltung als Erfolg. Die Cebit 2019 wird erneut etwas verlegt.

    1. Festival statt Technikmesse "Die neue Cebit ist ein Proof of Concept"

      •  /