Abo
  • Services:

Mailserver

Starttls führt eingeschleuste Befehle aus

Beim Aufbau einer verschlüsselten Verbindung per Starttls kann ein Angreifer Befehle einschleusen. Betroffen sind unter anderem Mailsysteme von Kerio, Ipswitch, Postfix oder Qmail-TLS.

Artikel veröffentlicht am ,

Die Lücke in Starttls kann für einen Man-in-the-Middle-Angriff genutzt werden, um während des Verbindungsaufbaus Befehle im Klartext einzuschleusen. Die Befehle werden allerdings erst ausgeführt, nachdem die Verbindung aufgebaut wurde. Das sei das Besondere an der Sicherheitslücke, schreibt Entdecker Wietse Venema.

Stellenmarkt
  1. BWI GmbH, deutschlandweit
  2. Herbert Kannegiesser GmbH, Vlotho

Ein Angreifer könne während einer ungeschützten Phase Befehle in eine SMTP-Sitzung einschleusen. Auf dem Server können die Kommandos dazu genutzt werden, Benutzernamen und Passwörter zu entwenden. Laut Venema ist nicht nur das Protokoll für den Mailversand SMTP betroffen, sondern auch die weiteren Mailprotokolle POP3, IMAP sowie das Usenet-Protokoll NNTP und das Dateitransferprotokoll FTP.

Das Problem sei zudem deshalb zweitrangig, weil die meisten SMTP-Client-Anwendungen ohnehin die TLS-Zertifikate auf dem Server nicht authentifizieren. Sie seien immer gegen Angriffe über das Einschleusen von Befehlen anfällig. Diese TLS-Sitzungen sind zwar verschlüsselt, aber nicht gesichert.

Laut US-CERT ist die Sicherheitslücke zunächst in den Mailsystemen von Kerio, Ipswitch, Qmail und anderen entdeckt worden. Lediglich Produkte von Novell und Palo Alto Networks sind bislang nicht betroffen. Venema, der gleichzeitig den Mailserver Postfix entwickelt, sagte, dass der Fehler in den Versionen 2.7.3, 2.6.9, 2.5.12 und 2.4.16 behoben worden ist. Postfix 2.8 und 2.9 sind nicht betroffen.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

Krille 09. Mär 2011

Menno - ich musste direkt was arbeiten: # emerge postfix ... # /etc/init.d/postfix...

jayrworthington 08. Mär 2011

Argh. Na ok, Dan ist rehabilitiert, auch wenn mir dann auch langsam klar wird warum der...


Folgen Sie uns
       


Red Dead Redemption 2 auf der Xbox One X - Golem.de live

Wir zeigen auf zahlreich geäußerten Wunsch Red Dead Redemption 2 im Livestream auf der Xbox One X. In der Aufzeichung kommen die Details des zum Teil in 4K hereingezoomten Bildausschnittes gut zur Geltung.

Red Dead Redemption 2 auf der Xbox One X - Golem.de live Video aufrufen
NGT Cargo: Der Güterzug der Zukunft fährt 400 km/h
NGT Cargo
Der Güterzug der Zukunft fährt 400 km/h

Güterzüge sind lange, laute Gebilde, die langsam durch die Lande zuckeln. Das soll sich ändern: Das DLR hat ein Konzept für einen automatisiert fahrenden Hochgeschwindigkeitsgüterzug entwickelt, der schneller ist als der schnellste ICE.
Ein Bericht von Werner Pluta


    Battlefield 5 im Test: Klasse Kämpfe unter Freunden
    Battlefield 5 im Test
    Klasse Kämpfe unter Freunden

    Umgebungen und Szenario erinnern an frühere Serienteile, das Sammeln von Ausrüstung motiviert langfristig, viele Gebiete sind zerstörbar: Battlefield 5 setzt auf Multiplayermatches für erfahrene Squads. Wer lange genug kämpft, findet schon vor der Erweiterung Firestorm ein bisschen Battle Royale.

    1. Dice Raytracing-Systemanforderungen für Battlefield 5 erschienen
    2. Dice Zusatzinhalte für Battlefield 5 vorgestellt
    3. Battle Royale Battlefield 5 schickt 64 Spieler in Feuerring

    Wet Dreams Don't Dry im Test: Leisure Suit Larry im Land der Hipster
    Wet Dreams Don't Dry im Test
    Leisure Suit Larry im Land der Hipster

    Der Möchtegernfrauenheld Larry Laffer kommt zurück aus der Gruft: In einem neuen Adventure namens Wet Dreams Don't Dry reist er direkt aus den 80ern ins Jahr 2018 - und landet in der Welt von Smartphone und Tinder.
    Ein Test von Peter Steinlechner

    1. Life is Strange 2 im Test Interaktiver Road-Movie-Mystery-Thriller
    2. Adventure Leisure Suit Larry landet im 21. Jahrhundert

      •  /