Sicherheitslücken im MTA Postfix

Spezielle Envelope-Adressen könne Postfix außer Gefecht setzen

Michal Zalewski weist auf zwei Sicherheitslücken im MTA Postfix hin, die Angreifen Denial-of-Service-Angriffe auf die Systeme ermöglichen. Schuld an den Problemen ist das Adress-Parsing von Postfix 1.1. Die aktuelle Version 2.0 ist von den Problemen nicht betroffen, allerdings ist die ältere Version 1.1 noch auf vielen Systemen im Einsatz und wird mit zahlreichen Linux-Distributionen ausgeliefert.

Artikel veröffentlicht am ,

So lässt sich zum einen mit einer speziell formatierten Envelope-Adresse das Programm "nqmgr" permanent blockieren, bis die entsprechende E-Mail aus der Mail-Queue gelöscht wird. Weitere E-Mails können derweil von Postfix nicht bearbeitet werden.

Stellenmarkt
  1. Software-Entwickler / Betreuer (m/w/d) Java
    ITC Consult GmbH, Wiesbaden
  2. Produktmanager (m/w/d) FIT-Connect
    Föderale IT-Kooperation (FITKO), Frankfurt am Main
Detailsuche

Zum anderen ist es möglich, durch eine entsprechende Envelope-Adresse eine einzelne Instanz des SMTP-Listeners in einen unbrauchbaren Zustand zu versetzen, die auch anhält, nachdem der Client die Verbindung beendet hat. Durch mehrfache Wiederholungen lässt sich der MTA oder auch das ganze System außer Gefecht setzen.

Abhilfe schafft unter anderem ein Update auf Postfix 2.0, bei dem der Code zum Parsen der Adressen grundlegend verändert wurde. Zudem soll eine Version 1.1.13 von Postfix erscheinen, aber Zalewski weist in seiner E-Mail auch auf Workarounds hin, mit denen sich die Probleme umgehen lassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Android
Googles Tensor-SoC ist eine halbe Mogelpackung

Für seinen ersten eigenen Smartphone-Chip liefert Google ausschließlich Erwartbares und dämpft damit sämtliche Hoffnungen an besseren Support und gute Linux-Treiber.
Ein IMHO von Sebastian Grüner

Android: Googles Tensor-SoC ist eine halbe Mogelpackung
Artikel
  1. Prime Air: Amazons Drohnenprojekt soll an schlechter Führung leiden
    Prime Air
    Amazons Drohnenprojekt soll an schlechter Führung leiden

    Ein Bericht beschreibt Amazons Versuche, in Großbritannien Pakete per Drohne auszuliefern, als überschätzt und hoch problematisch.

  2. Ryzen 7 5700G im Test: AMDs 5700X-Ersatz ist unser Gaming-Liebling
    Ryzen 7 5700G im Test
    AMDs 5700X-Ersatz ist unser Gaming-Liebling

    Acht Zen-3-Kerne, integrierte Vega-Grafik, niedriger Preis: Der Ryzen 7 5700G macht zwar vieles richtig, hat aber gewisse I/O-Nachteile.
    Ein Test von Marc Sauter

  3. Victorian Big Battery: Tesla-Speicher brannte vier Tage lang
    Victorian Big Battery
    Tesla-Speicher brannte vier Tage lang

    Viel Aufwand war nötig, um das brennende Akku-Modul zu löschen.

LP 04. Aug 2003

Also da ist fast nix anderes an der config, solltest du evtl 1:1 übernehmen können. Zum...

stoph 04. Aug 2003

ich würde auch sagen, dass qmail+vpopmail wesentlich sicherer und "professioneller" ist...

bazik 04. Aug 2003

Kein Backup System zum testen vorhanden? Ich hab die 2.0.3 hier laufen... funzt...

Stephan 04. Aug 2003

Jemand eine Anleitung fuer einen Update von 1.1.X auf 2.X ? Geht das ohne config...

NewJorg 04. Aug 2003

Profis nehmen sendmail? sehr interessant, is ja was ganz neues. Also als Profis würde...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Speicherwoche bei Saturn Samsung • C27RG54FQU, 27 Zoll, curved 203,55€ • Bosch Professional Werkzeuge und Messtechnik • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • 15% auf Xiaomi-Technik • Hisense UHD-Fernseher • Saturn: 1 Produkt zahlen, 2 erhalten [Werbung]
    •  /