Sicherheitslücke in führendem Email-System

4. März 2003, 14:39
4 Postings

Sicherheitslücke in "Sendmail" bislang offenbar noch nicht genutzt

Das Sicherheitsunternehmen Internet Security Systems (ISS) hat eine kritische Lücke im Message Transfer Agent (MTA) von Sendmail entdeckt. Ein Buffer-Overflow ermöglicht es Angreifern mit einem speziell präparierten E-Mail-Header sich Root-Rechte oder Superuser-Rechte auf dem Mail-Server einzuräumen. Dabei muss der Angreifer nicht einmal über besondere Informationen über den Ziel-Server verfügen. Sendmail ist der am weitesten verbreitete MTA im Internet. Weit mehr als die Hälfte aller E-Mails laufen über diese Anwendung. Laut ISS sind alle Versionen von 5.79 bis 8.12.7 verwundbar.

Rat zum Update

Auch das CERT warnt in einem Advisory vor dieser Sicherheitslücke und empfiehlt ein dringendes Update aller betroffen Systeme. Besonders bedenklich sei, dass auch Server innerhalb von geschützten Netzwerken von diesem Leck betroffen sein können, da die präparierten Nachrichten durch Firewalls dringen können. Auch werden die Nachrichten unverändert von Server zu Server weitergereicht.

Sicherheitslücke bereits am 13. Januar entdeckt

ISS hat die Sicherheitslücke bereits am 13. Januar entdeckt und die Hersteller von Produkten, die Sendmail verwenden, unterrichtet. Das Directorate of Information Analysis und Infrastructure Protection (IAIP) des Department of Homeland Security (DHS), dem US-Heimatschutzministerium, arbeitete mit ISS zusammen, um die Lücke zu schließen. Gleichzeitig hat das Ministerium nach Informationen von US-Medien verhindert, dass der Bug zu früh bekannt wurde. Der Vorfall wird in den USA als erster Test des DHS gesehen. Das IAIP soll in Zukunft Bedrohungen im Cyberspace frühzeitig erkennen und bei deren Abwehr mit der Privatwirtschaft zusammenarbeiten. Die drei Organisationen, die bisher in den USA für solche Vorfälle zuständig waren, das Federal Incident Response Center, das National Infrastructure Protection Center und das National Communication System wurden am vergangenen Freitag offiziell in das DHS übernommen.

In der Vergangenheit hat es in der IT-Sicherheitsszene heftige Debatten über die richtige Veröffentlichung gegeben. So hatte Microsoft mit seinem Vorstoß zur Nichtveröffentlichung von Sicherheitslücken heftige Kritik bezogen. Viele Softwareunternehmen fordern zumindest ein Fenster von wenigen Tagen, um die Chance zu erhalten die Lecks zu stopfen. IT-Sicherheitsexperten wiederum bestehen in der Regel auf "Full Disclosure", um die Sicherheitslücken besser beurteilen zu können. (pte)

  • Bild nicht mehr verfügbar
Share if you care.