Abo
  • Services:
Anzeige

Sicherheitslücken im MTA Postfix

Spezielle Envelope-Adressen könne Postfix außer Gefecht setzen

Michal Zalewski weist auf zwei Sicherheitslücken im MTA Postfix hin, die Angreifen Denial-of-Service-Angriffe auf die Systeme ermöglichen. Schuld an den Problemen ist das Adress-Parsing von Postfix 1.1. Die aktuelle Version 2.0 ist von den Problemen nicht betroffen, allerdings ist die ältere Version 1.1 noch auf vielen Systemen im Einsatz und wird mit zahlreichen Linux-Distributionen ausgeliefert.

Anzeige

So lässt sich zum einen mit einer speziell formatierten Envelope-Adresse das Programm "nqmgr" permanent blockieren, bis die entsprechende E-Mail aus der Mail-Queue gelöscht wird. Weitere E-Mails können derweil von Postfix nicht bearbeitet werden.

Zum anderen ist es möglich, durch eine entsprechende Envelope-Adresse eine einzelne Instanz des SMTP-Listeners in einen unbrauchbaren Zustand zu versetzen, die auch anhält, nachdem der Client die Verbindung beendet hat. Durch mehrfache Wiederholungen lässt sich der MTA oder auch das ganze System außer Gefecht setzen.

Abhilfe schafft unter anderem ein Update auf Postfix 2.0, bei dem der Code zum Parsen der Adressen grundlegend verändert wurde. Zudem soll eine Version 1.1.13 von Postfix erscheinen, aber Zalewski weist in seiner E-Mail auch auf Workarounds hin, mit denen sich die Probleme umgehen lassen.


eye home zur Startseite
LP 04. Aug 2003

Also da ist fast nix anderes an der config, solltest du evtl 1:1 übernehmen können. Zum...

stoph 04. Aug 2003

ich würde auch sagen, dass qmail+vpopmail wesentlich sicherer und "professioneller" ist...

bazik 04. Aug 2003

Kein Backup System zum testen vorhanden? Ich hab die 2.0.3 hier laufen... funzt...

Stephan 04. Aug 2003

Jemand eine Anleitung fuer einen Update von 1.1.X auf 2.X ? Geht das ohne config...

NewJorg 04. Aug 2003

Profis nehmen sendmail? sehr interessant, is ja was ganz neues. Also als Profis würde...



Anzeige

Stellenmarkt
  1. ING-DiBa AG, Frankfurt
  2. Diehl Aerospace GmbH, Frankfurt am Main
  3. M-net Telekommunikations GmbH, München
  4. Haufe Gruppe, Freiburg im Breisgau


Anzeige
Blu-ray-Angebote
  1. für 1€ über Sky Ticket (via App auch auf Smartphone/Tablet, Apple TV, PS3, PS4, Xbox One...
  2. 299,99€ (Vorbesteller-Preisgarantie)
  3. 9,99€

Folgen Sie uns
       

  1. Search Light

    Google testet schlanke Such-App

  2. 3D-Drucker

    Neues Verfahren erkennt Manipulationen beim 3D-Druck

  3. AVS Device SDK

    Amazon bringt Alexa auf Raspberry Pi und andere Boards

  4. Adblock Plus

    OLG München erklärt Werbeblocker für zulässig

  5. Streaming

    Netflix plant 7 Milliarden US-Dollar für eigenen Content ein

  6. Coffee Lake

    Core i3 als Quadcores und Core i5 als Hexacores

  7. Starcraft Remastered im Test

    Klick, klick, klick, klick, klick als wär es 1998

  8. KB4034658

    Anniversary-Update-Update macht Probleme mit WSUS

  9. Container

    Githubs Kubernetes-Cluster überlebt regelmäßige Kernel-Panic

  10. Radeon RX Vega

    Mining-Treiber steigert MH/s deutlich



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered: "Mit den Protoss kann man seinen Gegner richtig nerven!"
Starcraft Remastered
"Mit den Protoss kann man seinen Gegner richtig nerven!"
  1. Blizzard Der Name Battle.net bleibt
  2. Blizzard Overwatch bekommt Deathmatches
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Workstation AMD bringt Radeon Pro WX 9100
  2. Grafikkarte Radeon RX Vega 64 kostet 500 US-Dollar
  3. Grafikkarte Erste Tests der Radeon Vega FE durchwachsen

  1. Re: MEDIATEK...

    peter.kleibert | 16:44

  2. Re: 3D-gedruckte Objekte würden Menschen...

    kayozz | 16:41

  3. Re: Warum wurden Tools wie ABP ADGUARD oder...

    chewbacca0815 | 16:41

  4. Re: Golem ist aber auch nicht dumm...

    DonPanda | 16:41

  5. Re: Sollen sie Werbeblocker halt aussperren.

    TC | 16:37


  1. 17:02

  2. 15:55

  3. 15:41

  4. 15:16

  5. 14:57

  6. 14:40

  7. 14:26

  8. 13:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel