Kritische Schwachstelle in der Mail-Verarbeitung bei Sendmai

Das passende Forum für alle Diskussionen, die sich über Small Talk oder auch ernstere Themen erstrecken, aber nicht mit einem eigenen Themenforum gewürdigt wurden.
Forumsregeln
Doppelpostings: Neue Regelung!
Antworten
MoD-Chippy
..ist hier schon Zuhause
..ist hier schon Zuhause
Beiträge: 961
Registriert: 10. Februar 2003 12:00

Kritische Schwachstelle in der Mail-Verarbeitung bei Sendmai

Ungelesener Beitrag von MoD-Chippy »

Kritische Schwachstelle in der Mail-Verarbeitung bei Sendmail

:: Kritische Schwachstelle in der Mail-Verarbeitung bei Sendmail :: 04.03.2003 - 08:21


Eine ernste Schwachstelle in Sendmail erlaubt es, durch die Einlieferung von Mail das System zu kompromittieren.

Betroffene Systeme
* Systeme, die Sendmail in den Versionen 5.79 bis 8.12.7 einsetzen.

Nicht betroffene Systeme
* Sendmail 8.12.8
* Systeme, die mit entsprechenden Vendor-Patches zur Behebung der
Schwachstelle versehen sind, die aber i.d.R. nicht die
Versionsnummer ändern.

Einfallstor
Ein Angreifer muss in der Lage sein, Nachrichten an das System zu schicken. Der Weg ist dabei zweitrangig. Möglichkeiten sind dazu unter anderem:

* Direkteinlieferung über SMTP (i.d.R. über TCP-Port 25),
* indirekte Einlieferung über ein SMTP-Relay,
* Verteilung über eine Mailingliste,
* Einlieferung über UUCP,
* Einlieferung über ein Web-Formular, welches Adressen nicht strikt
prüft.

Auswirkung
Der Angreifer kann typischerweise root-Rechte auf dem System erlangen.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch

Beschreibung
Ein Pufferüberlauf im Adreß-Parser von Sendmail kann von Angreifern zur Kompromittierung des Systems ausgenutzt werden. Diese Schwachstelle ist besonders kritisch, da keine direkte Verbindung für einen erfolgreichen Angriff notwendig ist. Massenweise Angriffe, zum Beispiel über Mailinglisten, scheinen im Rahmen des Möglichen zu liegen.

Da die Schwachstelle bei der Verarbeitung von überlangen Adressen auftritt, kann auf Relays vor dem betroffenen Sendmail versucht werden, kritische Nachrichten zu filtern. Momentan ist jedoch noch unklar, wie diese Regeln aussehen müssen. Ohne weitere Maßnahmen sind Sendmail-Systeme hinter Relays ebenfalls verwundbar.

Betroffen sind auch historische Versionen (z.B. Sendmail 5). Da diese wahrscheinlich auch weitere Probleme aufweisen, sollten sie bei dieser Gelegenheit ersetzt werden.

Gegenmassnahmen
* Upgrade auf [2]Sendmail 8.12.8.
* Für ältere Versionen werden [3]Patches bereitgestellt.
* Mehrere Hersteller veröffentlichten bereits Advisories für ihre
Produkte:
+ [4]IBM AIX
+ [5]Red Hat
+ [6]SGI Irix
+ [7]FreeBSD

Vulnerability ID
* [8]CAN-2002-1337
* [9]CERT/CC Vulnerability Note VU#398025

Weitere Information zu diesem Thema
* [10]Ankündigung von Sendmail 8.12.8
* [11]ISS Security Advisory: Remote Sendmail Header Processing
Vulnerability
* [12]CERT/CC Advisory CA-2003-07

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2003 RUS-CERT, Universität Stuttgart,

References
1. <a href='http://CERT.Uni-Stuttgart.DE/ticker/cha ... ungsstufen' target='_blank'>http://CERT.Uni-Stuttgart.DE/ticker/cha ... sstufen</a>
2. <a href='http://www.sendmail.org/' target='_blank'>http://www.sendmail.org/</a>
3. <a href='http://www.sendmail.org/patchcr.html' target='_blank'>http://www.sendmail.org/patchcr.html</a>
4. <a href='http://cert.uni-stuttgart.de/archive/bu ... 00026.html' target='_blank'>http://cert.uni-stuttgart.de/archive/bu ... 26.html</a>
5. <a href='http://cert.uni-stuttgart.de/archive/bu ... 00022.html' target='_blank'>http://cert.uni-stuttgart.de/archive/bu ... 22.html</a>
6. <a href='http://cert.uni-stuttgart.de/archive/bu ... 00021.html' target='_blank'>http://cert.uni-stuttgart.de/archive/bu ... 21.html</a>
7. <a href='http://cert.uni-stuttgart.de/archive/bu ... 00027.html' target='_blank'>http://cert.uni-stuttgart.de/archive/bu ... 27.html</a>
8. <a href='http://cve.mitre.org/cgi-bin/cvename.cg ... -2002-1337' target='_blank'>http://cve.mitre.org/cgi-bin/cvename.cg ... 02-1337</a>
9. <a href='http://www.kb.cert.org/vuls/id/398025' target='_blank'>http://www.kb.cert.org/vuls/id/398025</a>
10. <a href='http://www.sendmail.org/8.12.8.html' target='_blank'>http://www.sendmail.org/8.12.8.html</a>
11. <a href='http://www.iss.net/issEn/delivery/xforc ... ?oid=21950' target='_blank'>http://www.iss.net/issEn/delivery/xforc ... d=21950</a>
12. <a href='http://www.cert.org/advisories/CA-2003-07.html' target='_blank'>http://www.cert.org/advisories/CA-2003-07.html</a>
13. <a href='http://CERT.Uni-Stuttgart.DE/ticker/art ... p?mid=1081' target='_blank'>http://CERT.Uni-Stuttgart.DE/ticker/art ... id=1081</a>
14. <a href='http://CERT.Uni-Stuttgart.DE/' target='_blank'>http://CERT.Uni-Stuttgart.DE/</a>
MfG, MoD-Chippy
Nach oben
Antworten

Zurück zu „Chit Chat“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste