Abo
  • IT-Karriere:

Mailserver

Starttls führt eingeschleuste Befehle aus

Beim Aufbau einer verschlüsselten Verbindung per Starttls kann ein Angreifer Befehle einschleusen. Betroffen sind unter anderem Mailsysteme von Kerio, Ipswitch, Postfix oder Qmail-TLS.

Artikel veröffentlicht am ,

Die Lücke in Starttls kann für einen Man-in-the-Middle-Angriff genutzt werden, um während des Verbindungsaufbaus Befehle im Klartext einzuschleusen. Die Befehle werden allerdings erst ausgeführt, nachdem die Verbindung aufgebaut wurde. Das sei das Besondere an der Sicherheitslücke, schreibt Entdecker Wietse Venema.

Stellenmarkt
  1. DASGIP Information and Process Technology GmbH, Jülich
  2. TeamBank AG, Nürnberg

Ein Angreifer könne während einer ungeschützten Phase Befehle in eine SMTP-Sitzung einschleusen. Auf dem Server können die Kommandos dazu genutzt werden, Benutzernamen und Passwörter zu entwenden. Laut Venema ist nicht nur das Protokoll für den Mailversand SMTP betroffen, sondern auch die weiteren Mailprotokolle POP3, IMAP sowie das Usenet-Protokoll NNTP und das Dateitransferprotokoll FTP.

Das Problem sei zudem deshalb zweitrangig, weil die meisten SMTP-Client-Anwendungen ohnehin die TLS-Zertifikate auf dem Server nicht authentifizieren. Sie seien immer gegen Angriffe über das Einschleusen von Befehlen anfällig. Diese TLS-Sitzungen sind zwar verschlüsselt, aber nicht gesichert.

Laut US-CERT ist die Sicherheitslücke zunächst in den Mailsystemen von Kerio, Ipswitch, Qmail und anderen entdeckt worden. Lediglich Produkte von Novell und Palo Alto Networks sind bislang nicht betroffen. Venema, der gleichzeitig den Mailserver Postfix entwickelt, sagte, dass der Fehler in den Versionen 2.7.3, 2.6.9, 2.5.12 und 2.4.16 behoben worden ist. Postfix 2.8 und 2.9 sind nicht betroffen.



Anzeige
Spiele-Angebote
  1. 7,99€
  2. 4,99€
  3. 2,99€
  4. 2,99€

Krille 09. Mär 2011

Menno - ich musste direkt was arbeiten: # emerge postfix ... # /etc/init.d/postfix...

jayrworthington 08. Mär 2011

Argh. Na ok, Dan ist rehabilitiert, auch wenn mir dann auch langsam klar wird warum der...


Folgen Sie uns
       


Honor 20 Pro - Hands on

Das Honor 20 Pro ist das neue Oberklasse-Smartphone der Huawei-Tochter. Als Besonderheit gibt es eine Vierfachkamera, um für möglichst viele Objektivsituationen gewappnet zu sein. Hinweis vom Hersteller: "Bei den gezeigten Geräten der Honor-20-Serie handelt es sich um Demoversionen, die sich in Aussehen und Funktion von der finalen Version unterscheiden können."

Honor 20 Pro - Hands on Video aufrufen
Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Elektromobilität: Wohin mit den vielen Akkus?
    Elektromobilität
    Wohin mit den vielen Akkus?

    Akkus sind die wichtigste Komponente von Elektroautos. Doch auch, wenn sie für die Autos nicht mehr geeignet sind, sind sie kein Fall für den Schredder. Hersteller wie Audi testen Möglichkeiten, sie weiterzuverwenden.
    Ein Bericht von Dirk Kunde

    1. Proterra Elektrobushersteller vermietet Akkus zur Absatzförderung
    2. Batterieherstellung Kampf um die Zelle
    3. US CPSC HP muss in den USA nochmals fast 80.000 Akkus zurückrufen

    Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
    Ada und Spark
    Mehr Sicherheit durch bessere Programmiersprachen

    Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
    Von Johannes Kanig

    1. Das andere How-to Deutsch lernen für Programmierer
    2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
    3. Software-Entwickler Welche Programmiersprache soll ich lernen?

      •  /