Abo
  • Services:

Mailserver

Starttls führt eingeschleuste Befehle aus

Beim Aufbau einer verschlüsselten Verbindung per Starttls kann ein Angreifer Befehle einschleusen. Betroffen sind unter anderem Mailsysteme von Kerio, Ipswitch, Postfix oder Qmail-TLS.

Artikel veröffentlicht am ,

Die Lücke in Starttls kann für einen Man-in-the-Middle-Angriff genutzt werden, um während des Verbindungsaufbaus Befehle im Klartext einzuschleusen. Die Befehle werden allerdings erst ausgeführt, nachdem die Verbindung aufgebaut wurde. Das sei das Besondere an der Sicherheitslücke, schreibt Entdecker Wietse Venema.

Stellenmarkt
  1. comemso GmbH, Ostfildern bei Stuttgart
  2. Computacenter AG & Co. oHG, verschiedene Standorte

Ein Angreifer könne während einer ungeschützten Phase Befehle in eine SMTP-Sitzung einschleusen. Auf dem Server können die Kommandos dazu genutzt werden, Benutzernamen und Passwörter zu entwenden. Laut Venema ist nicht nur das Protokoll für den Mailversand SMTP betroffen, sondern auch die weiteren Mailprotokolle POP3, IMAP sowie das Usenet-Protokoll NNTP und das Dateitransferprotokoll FTP.

Das Problem sei zudem deshalb zweitrangig, weil die meisten SMTP-Client-Anwendungen ohnehin die TLS-Zertifikate auf dem Server nicht authentifizieren. Sie seien immer gegen Angriffe über das Einschleusen von Befehlen anfällig. Diese TLS-Sitzungen sind zwar verschlüsselt, aber nicht gesichert.

Laut US-CERT ist die Sicherheitslücke zunächst in den Mailsystemen von Kerio, Ipswitch, Qmail und anderen entdeckt worden. Lediglich Produkte von Novell und Palo Alto Networks sind bislang nicht betroffen. Venema, der gleichzeitig den Mailserver Postfix entwickelt, sagte, dass der Fehler in den Versionen 2.7.3, 2.6.9, 2.5.12 und 2.4.16 behoben worden ist. Postfix 2.8 und 2.9 sind nicht betroffen.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)

Krille 09. Mär 2011

Menno - ich musste direkt was arbeiten: # emerge postfix ... # /etc/init.d/postfix...

jayrworthington 08. Mär 2011

Argh. Na ok, Dan ist rehabilitiert, auch wenn mir dann auch langsam klar wird warum der...


Folgen Sie uns
       


Android 9 - Test

Wir haben das neue Android 9 getestet.

Android 9 - Test Video aufrufen
Stromversorgung: Das Märchen vom Blackout durch Elektroautos
Stromversorgung
Das Märchen vom Blackout durch Elektroautos

Die massenhafte Verbreitung von Elektroautos stellt das Stromnetz vor neue Herausforderungen. Doch verschiedenen Untersuchungen zufolge sind diese längst nicht so gravierend, wie von Kritikern befürchtet.
Ein Bericht von Friedhelm Greis

  1. Ladekabel Startup Ubitricity gewinnt Klimaschutzpreis in New York
  2. TU Graz Der Roboter als E-Tankwart
  3. WLTP VW kann Elektro- und Hybridautos 2018 nicht mehr verkaufen

IMHO: Heilloses Durcheinander bei Netflix und Amazon Prime
IMHO
Heilloses Durcheinander bei Netflix und Amazon Prime

Es könnte alles so schön sein abseits vom klassischen Fernsehen. Netflix und Amazon Prime bieten modernes Encoding, 4K-Auflösung, HDR-Farben und -Lichter, flüssige Kamerafahrten wie im Kino - leider nur in der Theorie, denn sie bringen es nicht zum Kunden.
Ein IMHO von Michael Wieczorek

  1. IMHO Ein Lob für Twitter und Github
  2. Linux Mit Ignoranz gegen die GPL
  3. Sicherheit Tag der unsinnigen Passwort-Ratschläge

Threadripper 2990WX und 2950X im Test: Viel hilft nicht immer viel
Threadripper 2990WX und 2950X im Test
Viel hilft nicht immer viel

Für Workstations: AMDs Threadripper 2990WX mit 32 Kernen schlägt Intels ähnlich teure 18-Core-CPU klar und der günstigere Threadripper 2950X hält noch mit. Für das Ryzen-Topmodell muss aber die Software angepasst sein und sie darf nicht zu viel Datentransferrate benötigen.
Ein Test von Marc Sauter

  1. Threadripper 2990X AMDs 32-Kerner soll mit 4,2 GHz laufen
  2. AMD Threadripper v2 mit 32 Kernen erscheint im Sommer 2018
  3. Raven Ridge AMDs Athlon kehrt zurück

    •  /