Mailserver

Starttls führt eingeschleuste Befehle aus

Beim Aufbau einer verschlüsselten Verbindung per Starttls kann ein Angreifer Befehle einschleusen. Betroffen sind unter anderem Mailsysteme von Kerio, Ipswitch, Postfix oder Qmail-TLS.

Artikel veröffentlicht am ,

Die Lücke in Starttls kann für einen Man-in-the-Middle-Angriff genutzt werden, um während des Verbindungsaufbaus Befehle im Klartext einzuschleusen. Die Befehle werden allerdings erst ausgeführt, nachdem die Verbindung aufgebaut wurde. Das sei das Besondere an der Sicherheitslücke, schreibt Entdecker Wietse Venema.

Stellenmarkt
  1. Mathematiker (m/w/d) Produktrealisierung Leben
    VPV Versicherungen, Stuttgart
  2. Informatiker / Elektroingenieur (m/w/d) (FH/B.Sc.)
    Bayerisches Landeskriminalamt, München
Detailsuche

Ein Angreifer könne während einer ungeschützten Phase Befehle in eine SMTP-Sitzung einschleusen. Auf dem Server können die Kommandos dazu genutzt werden, Benutzernamen und Passwörter zu entwenden. Laut Venema ist nicht nur das Protokoll für den Mailversand SMTP betroffen, sondern auch die weiteren Mailprotokolle POP3, IMAP sowie das Usenet-Protokoll NNTP und das Dateitransferprotokoll FTP.

Das Problem sei zudem deshalb zweitrangig, weil die meisten SMTP-Client-Anwendungen ohnehin die TLS-Zertifikate auf dem Server nicht authentifizieren. Sie seien immer gegen Angriffe über das Einschleusen von Befehlen anfällig. Diese TLS-Sitzungen sind zwar verschlüsselt, aber nicht gesichert.

Laut US-CERT ist die Sicherheitslücke zunächst in den Mailsystemen von Kerio, Ipswitch, Qmail und anderen entdeckt worden. Lediglich Produkte von Novell und Palo Alto Networks sind bislang nicht betroffen. Venema, der gleichzeitig den Mailserver Postfix entwickelt, sagte, dass der Fehler in den Versionen 2.7.3, 2.6.9, 2.5.12 und 2.4.16 behoben worden ist. Postfix 2.8 und 2.9 sind nicht betroffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Hubble
Uralttechnik ohne Ersatz versagt im Orbit

Das Hubble-Teleskop ist außer Betrieb. Die Speicherbänke aus den 1980er Jahren lassen sich nicht mit der CPU von 1974 ansprechen, die auf einer Platine zusammengelötet wurde.
Von Frank Wunderlich-Pfeiffer

Hubble: Uralttechnik ohne Ersatz versagt im Orbit
Artikel
  1. Batteriezellfabrik: Porsche will Hochleistungsakkus mit Silizium-Anoden bauen
    Batteriezellfabrik
    Porsche will Hochleistungsakkus mit Silizium-Anoden bauen

    Akkus für nur 1.000 Elektroautos im Jahr will Porsche mit der neuen Tochterfirma Cellforce bauen. Vor allem für den Motorsport.

  2. Pornografie: Hostprovider soll Xhamster sperren
    Pornografie
    Hostprovider soll Xhamster sperren

    Medienwächter haben den Hostprovider von Xhamster ausfindig gemacht. Dieser soll das Pornoportal für deutsche Nutzer sperren.

  3. SSDs und Monitore zum Knallerpreis beim Amazon Prime Day
     
    SSDs und Monitore zum Knallerpreis beim Amazon Prime Day

    Wer auf der Suche nach neuer Hardware ist, sollte den Prime Day von Amazon nutzen. Hier warten Rabatte auf alle möglichen Artikel.
    Ausgewählte Angebote des E-Commerce-Teams

Krille 09. Mär 2011

Menno - ich musste direkt was arbeiten: # emerge postfix ... # /etc/init.d/postfix...

jayrworthington 08. Mär 2011

Argh. Na ok, Dan ist rehabilitiert, auch wenn mir dann auch langsam klar wird warum der...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day • SSDs (u. a. Crucial MX500 1TB 75,04€) • Gaming-Monitore • RAM von Crucial • Fire TV Stick 4K 28,99€/Lite 18,99€ • Bosch Professional • Dualsense + Pulse 3D Headset 139,99€ • Gaming-Chairs von Razer uvm. • HyperX Cloud II 51,29€ • iPhone 12 128GB 769€ • TV OLED & QLED [Werbung]
    •  /