• IT-Karriere:
  • Services:

Kritische Sicherheitslücke in Sendmail

Spezielle E-Mail ermöglicht Root-Rechte auf verwundbaren Systemen

Internet Security Systems (ISS) hat eine Sicherheitslücke im Sendmail Mail Transfer Agent (MTA) entdeckt, dem noch immer am weitesten verbreiteten MTA mit einem geschätzten Marktanteil zwischen 50 Prozent und 75 Prozent. Durch einen Buffer-Overflow ist es möglich, auf einem verwundbaren System Root-Rechte zu erlangen.

Artikel veröffentlicht am ,

Da MTAs in der Regel aus dem Internet erreichbar sind, schützen Firewalls oder Paketfilter nicht vor Ausnutzung der entdeckten Sicherheitslücke. Für besonders gefährlich halten die Sicherheitsexperten das Sicherheitsloch, da es durch eine E-Mail ausgenutzt werden kann und der Angreifer keine speziellen Kentnisse des angegriffenen Systems benötigt.

Stellenmarkt
  1. Deutsche Bahn AG, Frankfurt
  2. Heraeus Quarzglas Bitterfeld GmbH & Co. KG, Bitterfeld-Wolfen

Betroffen von der Sicherheitslücke ist Sendmail in Versionen zwischen 5.79 und 8.12.7 auf x86, möglicherweise aber auch auf anderen Architekturen.

Das entdeckte Problem verbirgt sich in der Verarbeitung und Auswertung der Mail-Header-Felder während einer SMTP-Transaktion. Insbesondere wenn Sendmail Felder mit E-Mail-Adressen verarbeitet, versucht Sendmail, diese zu validieren. Dabei werden verarbeitete Daten in einem statischen Puffer gespeichert, zu dem Sendmail keine neuen Zeichen hinzufügt, sollte er voll sein. Sendmail enthält einige Sicherheitschecks um zu prüfen, dass Zeichen korrekt verarbeitet werden, doch eine dieser Überprüfungen sorgt - eine entsprechende E-Mail-Adresse vorausgesetzt - für einen Pufferüberlauf.

Sollte diese Sicherheitslücke ausgenutzt werden, hinterlässt dies zudem keine Einträge in den Logdateien.

Unter sendmail.org findet sich eine neue Version von Sendmail, die das Sicherheitsproblem behebt. Nutzer der kommerziellen Version erhalten unter sendmail.com einen Patch. Für MacOS X 10.2.4 bietet Apple ebenfalls einen entsprechenden Patch an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Transport Fever 2 für 22,99€, Project CARS 2 Delux für 15,99€)
  2. (u. a. PS4 Pro Naughty Dog Bundle für 399,99€, PS4 VR Megapack Ed. 2 für 279,99€, Death...
  3. (Samsung Galaxy A51 128 GB für 299,00€)
  4. (aktuell u. a. WD Eements 10 TB für 179,00€, Crucial X8 1 TB externe SSD für 149,00€, Zotac...

dickhead 05. Mär 2003

werdet ihr für solche aussagen eigentlich gut bezahlt, ja?

Robert M. 04. Mär 2003

Nö, für sowas gibt es JIT-Compiler (just in time-compiler), der kompiliert bei...

dev0 04. Mär 2003

Jepp, Die US-Regierung und der sendmail-Bug[1] [1] http://heise.de/newsticker/data/jk-04...

dev0 04. Mär 2003

Die sog. Hobby-/Amateurprogrammierer (wie du sie bezeichnest) haben mittlerweile schon...

Marc1 04. Mär 2003

naja unter seeehr Schnell meinst du wohl eher VB-Schnell was ;-) Java wird nun mal...


Folgen Sie uns
       


Golem.de baut die ISS aus Lego zusammen

Mit 864 Einzelteilen und rund 90 Minuten Bauzeit ist die Lego-ISS bei Weitem nicht so komplex wie ihr Vorbild.

Golem.de baut die ISS aus Lego zusammen Video aufrufen
Indiegames-Rundschau: Einmal durchspielen in 400 Tagen
Indiegames-Rundschau
Einmal durchspielen in 400 Tagen

Im Indiegame The Longing warten wir 400 Tage in Echtzeit, in Broken Lines kämpfen wir im Zweiten Weltkrieg und Avorion schickt uns ins Universum.
Von Rainer Sigl

  1. A Maze Berliner Indiegames-Festival sucht Unterstützer
  2. Spielebranche Überleben in der Indiepocalypse
  3. Ancestors im Test Die Evolution als Affenzirkus

Disney+ im Nachtest: Lücken im Sortiment und technische Probleme
Disney+ im Nachtest
Lücken im Sortiment und technische Probleme

Disney+ läuft auf Amazons Fire-TV-Geräten nur mit Einschränkungen. Beim Sortiment gibt es Lücken und die Auswahl von Disney+ ist deutlich kleiner als bei Netflix und Prime Video.
Ein Test von Ingo Pakalski

  1. Disney+ im Test Ein Fest für Filmfans
  2. Disney+ The Mandalorian gibt es in Deutschland im Wochenturnus
  3. Rabatte für Disney+ Disney erlaubt Aussetzen des vergünstigten Jahresabos

Golem Akademie: IT-Sicherheit für Webentwickler als Live-Webinar
Golem Akademie
"IT-Sicherheit für Webentwickler" als Live-Webinar

Wegen der Corona-Pandemie findet unser Workshop zur IT-Sicherheit für Webentwickler nicht als Präsenzseminar, sondern im Netz statt: in einem Live-Webinar Ende April mit Golem.de-Redakteur und IT-Sicherheitsexperte Hanno Böck.

  1. Golem Akademie Zeitmanagement für IT-Profis
  2. Golem Akademie IT-Sicherheit für Webentwickler
  3. In eigener Sache Golem-pur-Nutzer erhalten Rabatt für unsere Workshops

    •  /