• IT-Karriere:
  • Services:

Remote Code Execution: Sicherheitslücke in Qmail

Die Lücke im Qmail-Mailserver war seit 2005 bekannt, galt aber als praktisch kaum ausnutzbar.

Artikel veröffentlicht am ,
Gefahr für den Mailserver: Wer Qmail noch nutzt, muss den Speicherbedarf der Prozesse einschränken, andernfalls drohen Angriffe.
Gefahr für den Mailserver: Wer Qmail noch nutzt, muss den Speicherbedarf der Prozesse einschränken, andernfalls drohen Angriffe. (Bild: ermell/Wikimedia Commons/CC-BY-SA 4.0)

Mitarbeiter der IT-Sicherheitsfirma Qualys haben gezeigt, wie man eine Sicherheitslücke im Mailserver Qmail über das Netzwerk ausnutzen kann. Bekannt war der dahinterliegende Bug zwar schon seit 2005, es sah aber zunächst so aus, als ob der Fehler in Standardkonfigurationen nicht ausnutzbar sei.

Stellenmarkt
  1. NOVO Data Solutions GmbH & Co. KG, Bamberg
  2. Landkreis Potsdam-Mittelmark, Teltow

Qmail ist ein Mailserver, der von Dan Bernstein in den 90ern entwickelt wurde. Qmail entstand damals als Reaktion auf sehr häufige Sicherheitsprobleme in Sendmail. Bernstein wollte damit zeigen, wie man sicheren Code entwickelt. 1997 versprach Bernstein 500 Dollar für denjenigen, der eine Sicherheitslücke in Qmail findet, das Angebot gilt laut der Webseite bis heute.

64-Bit-Lücke galt wegen Speicherlimit als nicht ausnutzbar

2005 fand Georgi Guninski mehrere Probleme in Qmail, wenn man es auf 64-Bit-Plattformen nutzt, darunter mehrere Integer Overflows im SMTP-Daemon. Diese Lücken haben die Kennungen CVE-2005-1513, CVE-2005-1514 und CVE-2005-1515. Doch um die Bugs auszunutzen, musste der Qmail-Prozess große Mengen Speicher verwenden. In gängigen Konfigurationen erhält ein einzelner Qmail-SMTP-Prozess nur wenige Megabyte Speicher. Bernstein schrieb daher auch, dass er dies nicht als gültige Sicherheitslücke akzeptiert.

Wie die Qualys-Forscher nun herausfanden, lässt sich die Lücke aber auch in einem weiteren Daemon, der lokal läuft und nicht für Verbindungen von außen zuständig ist, ausnutzen. Während der SMTP-Prozess in allen gängigen Distributionen mit einem Speicherlimit ausgeführt wird, wird dieser lokale Prozess in allen von Qualys untersuchten Konfigurationen nicht limitiert.

Exploit soll bald veröffentlicht werden

Damit lässt sich die Lücke angreifen, die Qualys-Forscher haben nach eigenen Angaben einen Exploit, der auf Standard-Debian-Installationen funktioniert und den sie in Kürze veröffentlichen werden. In einem Statement gegenüber Qualys erläuterte Bernstein, dass er alle Services mit einem Speicherlimit betreibt und dasselbe für andere Installationen empfiehlt.

Neben diesem Angriff haben die Qualys-Forscher zwei weitere Sicherheitslücken (CVE-2020-3811, CVE-2020-3812) in einem Tool namens qmail-verify entdeckt, das aber nicht Teil des originalen Qmails ist. Es wird aber in vielen Distributionen und Forks von Qmail mitgeliefert.

Ein neues Release von Qmail gab es schon seit 20 Jahren nicht mehr und wird es wohl auch nicht geben. Ein Projekt mit dem Namen Notqmail, was wiederum ein Fork eines ebenfalls eingestellten Projekts namens Netqmail ist, entwickelt aber Qmail aktiv weiter und hat auch die gefundenen Lücken geschlossen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 1.656,19€ (Bestpreis!)
  2. (aktuell u. a. WD Blue SN550 NVMe 1 TB für 112,10€, Crucial MX500 1TB SSD für 98,45€, Seagate...
  3. (u. a. Deal des Tages: Honor MagicBook 15 15,6 Zoll Full-HD-IPS Ryzen 5 für 548,53€, Asus ROG...
  4. (u. a. be quiet! Dark Rock Pro TR4 CPU-Kühler für 62,90€, be quiet! Dark Base Pro 900 rev.2 Big...

Folgen Sie uns
       


Baldurs Gate 3 - Spieleszenen

Endlich: Es geht weiter! In Baldur's Gate 3 sind Spieler erneut im Rollenspieluniversum von Dungeons & Dragons unterwegs, um gemeinsam mit Begleitern spannende Abenteuer in einer wunderschönen Fantasywelt zu erleben.

Baldurs Gate 3 - Spieleszenen Video aufrufen
Kumpan im Test: Aussehen von gestern, Technik von morgen
Kumpan im Test
Aussehen von gestern, Technik von morgen

Mit der Marke Kumpan Electric wollen drei Brüder aus Remagen den Markt für elektrische Roller erobern. Sie setzen auf den Look der deutschen Wirtschaftswunderjahre, wir haben ein Modell getestet.
Ein Praxistest von Dirk Kunde

  1. Venturi Wattman Rekordversuch mit elektrischem Motorrad mit Trockeneis
  2. Mobility Swapfiets testet Elektroroller im Abo
  3. Elektromobilität Volabo baut Niedrigspannungsmotor in Serie

HTTPS/TLS: Zwischenzertifikate von Tausenden Webseiten fehlerhaft
HTTPS/TLS
Zwischenzertifikate von Tausenden Webseiten fehlerhaft

Viele Webseiten müssen ihre Zertifikate tauschen, da sie von Zwischenzertifikaten ausgestellt wurden, die ein Sicherheitsrisiko darstellen.
Von Hanno Böck

  1. Nach Safari Chrome und Firefox wollen nur noch einjährige Zertifikate
  2. Sicherheitslücke GnuTLS setzt Session-Keys auf null
  3. Sectigo Abgelaufenes Root-Zertifikat entfacht Ärger

Complex Event Processing: Informationen fast in Echtzeit auswerten
Complex Event Processing
Informationen fast in Echtzeit auswerten

Ob autonomes Fahren, Aktienhandel oder Onlineshopping: Soll das Ergebnis gut sein, müssen Informationen quasi in Echtzeit ausgewertet werden. Eine gute Lösung dafür: CEP.
Von Boris Mayer

  1. Musik Software generiert Nirvana-Songtexte
  2. mmap Codeanalyse mit sechs Zeilen Bash
  3. Digitale Kultur Demoszene wird finnisches Kulturerbe

    •  /