• IT-Karriere:
  • Services:

Sicherheitslücken im MTA Postfix

Spezielle Envelope-Adressen könne Postfix außer Gefecht setzen

Michal Zalewski weist auf zwei Sicherheitslücken im MTA Postfix hin, die Angreifen Denial-of-Service-Angriffe auf die Systeme ermöglichen. Schuld an den Problemen ist das Adress-Parsing von Postfix 1.1. Die aktuelle Version 2.0 ist von den Problemen nicht betroffen, allerdings ist die ältere Version 1.1 noch auf vielen Systemen im Einsatz und wird mit zahlreichen Linux-Distributionen ausgeliefert.

Artikel veröffentlicht am ,

So lässt sich zum einen mit einer speziell formatierten Envelope-Adresse das Programm "nqmgr" permanent blockieren, bis die entsprechende E-Mail aus der Mail-Queue gelöscht wird. Weitere E-Mails können derweil von Postfix nicht bearbeitet werden.

Stellenmarkt
  1. Südpfalzwerkstatt gGmbH, Offenbach
  2. CYBEROBICS, Berlin

Zum anderen ist es möglich, durch eine entsprechende Envelope-Adresse eine einzelne Instanz des SMTP-Listeners in einen unbrauchbaren Zustand zu versetzen, die auch anhält, nachdem der Client die Verbindung beendet hat. Durch mehrfache Wiederholungen lässt sich der MTA oder auch das ganze System außer Gefecht setzen.

Abhilfe schafft unter anderem ein Update auf Postfix 2.0, bei dem der Code zum Parsen der Adressen grundlegend verändert wurde. Zudem soll eine Version 1.1.13 von Postfix erscheinen, aber Zalewski weist in seiner E-Mail auch auf Workarounds hin, mit denen sich die Probleme umgehen lassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 2,44€
  2. 4,99€
  3. 1,99€
  4. (-62%) 7,50€

LP 04. Aug 2003

Also da ist fast nix anderes an der config, solltest du evtl 1:1 übernehmen können. Zum...

stoph 04. Aug 2003

ich würde auch sagen, dass qmail+vpopmail wesentlich sicherer und "professioneller" ist...

bazik 04. Aug 2003

Kein Backup System zum testen vorhanden? Ich hab die 2.0.3 hier laufen... funzt...

Stephan 04. Aug 2003

Jemand eine Anleitung fuer einen Update von 1.1.X auf 2.X ? Geht das ohne config...

NewJorg 04. Aug 2003

Profis nehmen sendmail? sehr interessant, is ja was ganz neues. Also als Profis würde...


Folgen Sie uns
       


Google Stadia - Test

Beim Test haben wir verschiedene Spiele auf Stadia von Google ausprobiert und uns mit der Einrichtung und dem Zugang beschäftigt.

Google Stadia - Test Video aufrufen
HR-Analytics: Weshalb Mitarbeiter kündigen
HR-Analytics
Weshalb Mitarbeiter kündigen

HR-Analytics soll vorhersagbare und damit wertvollere Informationen liefern als reine Zahlen aus dem Controlling. Diese junge Disziplin im Personalwesen hat großes Potenzial, weil sie Personaler in die Lage versetzt, zu agieren, statt zu reagieren.
Ein Bericht von Peter Ilg

  1. Frauen in der IT Ist Logik von Natur aus Männersache?
  2. IT-Jobs Gibt es den Fachkräftemangel wirklich?
  3. Arbeit im Amt Wichtig ist ein Talent zum Zeittotschlagen

Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Disney+ Disney korrigiert falsches Seitenverhältnis bei den Simpsons
  2. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  3. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte

Von Microsoft zu Linux und zurück: Es gab bei Limux keine unlösbaren Probleme
Von Microsoft zu Linux und zurück
"Es gab bei Limux keine unlösbaren Probleme"

Aus Ärger über Microsoft stieß er den Wechsel der Stadt München auf Linux an. Kaum schied er aus dem Amt des Oberbürgermeisters, wurde Limux rückgängig gemacht. Christian Ude über Seelenmassage von Ballmer und Gates, die industriefreundliche CSU, eine abtrünnige Grüne und umfallende SPD-Genossen.
Ein Interview von Jan Kleinert


      •  /