Abo
  • Services:

Kritische Sicherheitslücke in Sendmail

Spezielle E-Mail ermöglicht Root-Rechte auf verwundbaren Systemen

Internet Security Systems (ISS) hat eine Sicherheitslücke im Sendmail Mail Transfer Agent (MTA) entdeckt, dem noch immer am weitesten verbreiteten MTA mit einem geschätzten Marktanteil zwischen 50 Prozent und 75 Prozent. Durch einen Buffer-Overflow ist es möglich, auf einem verwundbaren System Root-Rechte zu erlangen.

Artikel veröffentlicht am ,

Da MTAs in der Regel aus dem Internet erreichbar sind, schützen Firewalls oder Paketfilter nicht vor Ausnutzung der entdeckten Sicherheitslücke. Für besonders gefährlich halten die Sicherheitsexperten das Sicherheitsloch, da es durch eine E-Mail ausgenutzt werden kann und der Angreifer keine speziellen Kentnisse des angegriffenen Systems benötigt.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Hamm
  2. Berliner Verkehrsbetriebe (BVG), Berlin

Betroffen von der Sicherheitslücke ist Sendmail in Versionen zwischen 5.79 und 8.12.7 auf x86, möglicherweise aber auch auf anderen Architekturen.

Das entdeckte Problem verbirgt sich in der Verarbeitung und Auswertung der Mail-Header-Felder während einer SMTP-Transaktion. Insbesondere wenn Sendmail Felder mit E-Mail-Adressen verarbeitet, versucht Sendmail, diese zu validieren. Dabei werden verarbeitete Daten in einem statischen Puffer gespeichert, zu dem Sendmail keine neuen Zeichen hinzufügt, sollte er voll sein. Sendmail enthält einige Sicherheitschecks um zu prüfen, dass Zeichen korrekt verarbeitet werden, doch eine dieser Überprüfungen sorgt - eine entsprechende E-Mail-Adresse vorausgesetzt - für einen Pufferüberlauf.

Sollte diese Sicherheitslücke ausgenutzt werden, hinterlässt dies zudem keine Einträge in den Logdateien.

Unter sendmail.org findet sich eine neue Version von Sendmail, die das Sicherheitsproblem behebt. Nutzer der kommerziellen Version erhalten unter sendmail.com einen Patch. Für MacOS X 10.2.4 bietet Apple ebenfalls einen entsprechenden Patch an.



Anzeige
Top-Angebote
  1. 6,99€
  2. 11,19€ inkl. USK18-Versand
  3. 0,00€
  4. 0,00€

dickhead 05. Mär 2003

werdet ihr für solche aussagen eigentlich gut bezahlt, ja?

Robert M. 04. Mär 2003

Nö, für sowas gibt es JIT-Compiler (just in time-compiler), der kompiliert bei...

dev0 04. Mär 2003

Jepp, Die US-Regierung und der sendmail-Bug[1] [1] http://heise.de/newsticker/data/jk-04...

dev0 04. Mär 2003

Die sog. Hobby-/Amateurprogrammierer (wie du sie bezeichnest) haben mittlerweile schon...

Marc1 04. Mär 2003

naja unter seeehr Schnell meinst du wohl eher VB-Schnell was ;-) Java wird nun mal...


Folgen Sie uns
       


Monster Hunter World vs Generations Ultimate Gameplay

Gameplay von den Spielen Monster Hunter World und Monster Hunter Generations Ultimate, das im Splittscreen verglichen wird.

Monster Hunter World vs Generations Ultimate Gameplay Video aufrufen
Red Dead Redemption 2 angespielt: Mit dem Trigger im Wilden Westen eintauchen
Red Dead Redemption 2 angespielt
Mit dem Trigger im Wilden Westen eintauchen

Überfälle und Schießereien, Pferde und Revolver - vor allem aber sehr viel Interaktion: Das Anspielen von Red Dead Redemption 2 hat uns erstaunlich tief in die Westernwelt versetzt. Aber auch bei Grafik und Sound konnte das nächste Programm von Rockstar Games schon Punkte sammeln.
Von Peter Steinlechner

  1. Red Dead Redemption 2 Von Bärten, Pferden und viel zu warmer Kleidung
  2. Rockstar Games Red Dead Online startet im November als Beta
  3. Rockstar Games Neuer Trailer zeigt Gameplay von Red Dead Redemption 2

Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
Elektroroller-Verleih Coup
Zum Laden in den Keller gehen

Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
Ein Bericht von Friedhelm Greis

  1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
  2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
  3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

SpaceX: Milliardär will Künstler mit zum Mond nehmen
SpaceX
Milliardär will Künstler mit zum Mond nehmen

Ein japanischer Milliardär ist der mysteriöse erste Kunde von SpaceX, der um den Mond fliegen will. Er will eine Gruppe von Künstlern zu dem Flug einladen. Die Pläne für das Raumschiff stehen kurz vor der Fertigstellung.
Von Frank Wunderlich-Pfeiffer

  1. Mondwettbewerb Niemand gewinnt den Google Lunar X-Prize

    •  /