Abo
  • Services:
Anzeige

Sicherheitslücken im MTA Postfix

Spezielle Envelope-Adressen könne Postfix außer Gefecht setzen

Michal Zalewski weist auf zwei Sicherheitslücken im MTA Postfix hin, die Angreifen Denial-of-Service-Angriffe auf die Systeme ermöglichen. Schuld an den Problemen ist das Adress-Parsing von Postfix 1.1. Die aktuelle Version 2.0 ist von den Problemen nicht betroffen, allerdings ist die ältere Version 1.1 noch auf vielen Systemen im Einsatz und wird mit zahlreichen Linux-Distributionen ausgeliefert.

Anzeige

So lässt sich zum einen mit einer speziell formatierten Envelope-Adresse das Programm "nqmgr" permanent blockieren, bis die entsprechende E-Mail aus der Mail-Queue gelöscht wird. Weitere E-Mails können derweil von Postfix nicht bearbeitet werden.

Zum anderen ist es möglich, durch eine entsprechende Envelope-Adresse eine einzelne Instanz des SMTP-Listeners in einen unbrauchbaren Zustand zu versetzen, die auch anhält, nachdem der Client die Verbindung beendet hat. Durch mehrfache Wiederholungen lässt sich der MTA oder auch das ganze System außer Gefecht setzen.

Abhilfe schafft unter anderem ein Update auf Postfix 2.0, bei dem der Code zum Parsen der Adressen grundlegend verändert wurde. Zudem soll eine Version 1.1.13 von Postfix erscheinen, aber Zalewski weist in seiner E-Mail auch auf Workarounds hin, mit denen sich die Probleme umgehen lassen.


eye home zur Startseite
LP 04. Aug 2003

Also da ist fast nix anderes an der config, solltest du evtl 1:1 übernehmen können. Zum...

stoph 04. Aug 2003

ich würde auch sagen, dass qmail+vpopmail wesentlich sicherer und "professioneller" ist...

bazik 04. Aug 2003

Kein Backup System zum testen vorhanden? Ich hab die 2.0.3 hier laufen... funzt...

Stephan 04. Aug 2003

Jemand eine Anleitung fuer einen Update von 1.1.X auf 2.X ? Geht das ohne config...

NewJorg 04. Aug 2003

Profis nehmen sendmail? sehr interessant, is ja was ganz neues. Also als Profis würde...



Anzeige

Stellenmarkt
  1. LEONEX Internet GmbH, Paderborn
  2. Bundeskriminalamt, Wiesbaden
  3. HAGEMEYER Deutschland GmbH & Co. KG, München
  4. Endress+Hauser Flowtec AG, Reinach (Schweiz)


Anzeige
Hardware-Angebote
  1. 849,00€ (UVP € 1.298,99€)

Folgen Sie uns
       

  1. Radeon-Software-Adrenalin-Edition

    Grafikkartenzugriff mit Smartphone-App

  2. Datentransfer in USA

    EU-Datenschützer fordern Nachbesserungen beim Privacy Shield

  3. Ghostscript

    Vertragsverletzung in GPL-Klage wird nicht entschieden

  4. Atos

    Gemalto bekommt 4,3-Milliarden-Euro-Angebot

  5. HTTPS

    Let's Encrypt bringt Wildcard-Zertifikate

  6. Turi Create 4.0

    Apple macht KI-Framework zur Bilderkennung quelloffen

  7. LG 32UD99-W im Test

    Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR

  8. Jailbreak

    Googles Sicherheitsteam hackt mal wieder das iPhone

  9. Asus Rog Strix

    Notebooks mit 120-Hz-Display für LoL und Pubg vorgestellt

  10. Raumfahrt

    SpaceX schickt gebrauchtes Gespann zur ISS



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

King's Field 1 (1994): Die Saat für Dark Souls
King's Field 1 (1994)
Die Saat für Dark Souls
  1. Blade Runner (1997) Die unsterbliche, künstliche Erinnerung
  2. SNES Classic Mini im Vergleichstest Putzige Retro-Konsole mit suboptimaler Emulation

Bundesregierung: Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
Bundesregierung
Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
  1. Steuerstreit Apple zahlt 13 Milliarden Euro an Irland
  2. Rechtsunsicherheit bei Cookies EU warnt vor Verzögerung von ePrivacy-Verordnung
  3. Datenschutz EU-Parlament stimmt ePrivacy-Verordnung zu

  1. Re: 32Zoll zu groß für Schreibtisch?

    renegade334 | 15:15

  2. Re: Wer zahlt eigentlich den Strom

    lear | 15:15

  3. Blankes Kopfschütteln

    Khabaal | 15:15

  4. Re: Oberleitungen sind geldverschwendung

    lear | 15:14

  5. Re: Die USA sind das fortschrittlichste Land der...

    ArcherV | 15:13


  1. 15:09

  2. 14:44

  3. 13:48

  4. 13:43

  5. 13:32

  6. 13:07

  7. 12:05

  8. 11:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel