Kritische Schwachstelle in der Mail-Verarbeitung bei Sendmail
:: Kritische Schwachstelle in der Mail-Verarbeitung bei Sendmail :: 04.03.2003 - 08:21
Eine ernste Schwachstelle in Sendmail erlaubt es, durch die Einlieferung von Mail das System zu kompromittieren.
Betroffene Systeme
* Systeme, die Sendmail in den Versionen 5.79 bis 8.12.7 einsetzen.
Nicht betroffene Systeme
* Sendmail 8.12.8
* Systeme, die mit entsprechenden Vendor-Patches zur Behebung der
Schwachstelle versehen sind, die aber i.d.R. nicht die
Versionsnummer ändern.
Einfallstor
Ein Angreifer muss in der Lage sein, Nachrichten an das System zu schicken. Der Weg ist dabei zweitrangig. Möglichkeiten sind dazu unter anderem:
* Direkteinlieferung über SMTP (i.d.R. über TCP-Port 25),
* indirekte Einlieferung über ein SMTP-Relay,
* Verteilung über eine Mailingliste,
* Einlieferung über UUCP,
* Einlieferung über ein Web-Formular, welches Adressen nicht strikt
prüft.
Auswirkung
Der Angreifer kann typischerweise root-Rechte auf dem System erlangen.
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
sehr hoch
Beschreibung
Ein Pufferüberlauf im Adreß-Parser von Sendmail kann von Angreifern zur Kompromittierung des Systems ausgenutzt werden. Diese Schwachstelle ist besonders kritisch, da keine direkte Verbindung für einen erfolgreichen Angriff notwendig ist. Massenweise Angriffe, zum Beispiel über Mailinglisten, scheinen im Rahmen des Möglichen zu liegen.
Da die Schwachstelle bei der Verarbeitung von überlangen Adressen auftritt, kann auf Relays vor dem betroffenen Sendmail versucht werden, kritische Nachrichten zu filtern. Momentan ist jedoch noch unklar, wie diese Regeln aussehen müssen. Ohne weitere Maßnahmen sind Sendmail-Systeme hinter Relays ebenfalls verwundbar.
Betroffen sind auch historische Versionen (z.B. Sendmail 5). Da diese wahrscheinlich auch weitere Probleme aufweisen, sollten sie bei dieser Gelegenheit ersetzt werden.
Gegenmassnahmen
* Upgrade auf [2]Sendmail 8.12.8.
* Für ältere Versionen werden [3]Patches bereitgestellt.
* Mehrere Hersteller veröffentlichten bereits Advisories für ihre
Produkte:
+ [4]IBM AIX
+ [5]Red Hat
+ [6]SGI Irix
+ [7]FreeBSD
Vulnerability ID
* [8]CAN-2002-1337
* [9]CERT/CC Vulnerability Note VU#398025
Weitere Information zu diesem Thema
* [10]Ankündigung von Sendmail 8.12.8
* [11]ISS Security Advisory: Remote Sendmail Header Processing
Vulnerability
* [12]CERT/CC Advisory CA-2003-07
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2003 RUS-CERT, Universität Stuttgart,
References
1. <a href='http://CERT.Uni-Stuttgart.DE/ticker/cha ... ungsstufen' target='_blank'>http://CERT.Uni-Stuttgart.DE/ticker/cha ... sstufen</a>
2. <a href='http://www.sendmail.org/' target='_blank'>http://www.sendmail.org/</a>
3. <a href='http://www.sendmail.org/patchcr.html' target='_blank'>http://www.sendmail.org/patchcr.html</a>
4. <a href='http://cert.uni-stuttgart.de/archive/bu ... 00026.html' target='_blank'>http://cert.uni-stuttgart.de/archive/bu ... 26.html</a>
5. <a href='http://cert.uni-stuttgart.de/archive/bu ... 00022.html' target='_blank'>http://cert.uni-stuttgart.de/archive/bu ... 22.html</a>
6. <a href='http://cert.uni-stuttgart.de/archive/bu ... 00021.html' target='_blank'>http://cert.uni-stuttgart.de/archive/bu ... 21.html</a>
7. <a href='http://cert.uni-stuttgart.de/archive/bu ... 00027.html' target='_blank'>http://cert.uni-stuttgart.de/archive/bu ... 27.html</a>
8. <a href='http://cve.mitre.org/cgi-bin/cvename.cg ... -2002-1337' target='_blank'>http://cve.mitre.org/cgi-bin/cvename.cg ... 02-1337</a>
9. <a href='http://www.kb.cert.org/vuls/id/398025' target='_blank'>http://www.kb.cert.org/vuls/id/398025</a>
10. <a href='http://www.sendmail.org/8.12.8.html' target='_blank'>http://www.sendmail.org/8.12.8.html</a>
11. <a href='http://www.iss.net/issEn/delivery/xforc ... ?oid=21950' target='_blank'>http://www.iss.net/issEn/delivery/xforc ... d=21950</a>
12. <a href='http://www.cert.org/advisories/CA-2003-07.html' target='_blank'>http://www.cert.org/advisories/CA-2003-07.html</a>
13. <a href='http://CERT.Uni-Stuttgart.DE/ticker/art ... p?mid=1081' target='_blank'>http://CERT.Uni-Stuttgart.DE/ticker/art ... id=1081</a>
14. <a href='http://CERT.Uni-Stuttgart.DE/' target='_blank'>http://CERT.Uni-Stuttgart.DE/</a>
Kritische Schwachstelle in der Mail-Verarbeitung bei Sendmai
Forumsregeln
Doppelpostings: Neue Regelung!
Doppelpostings: Neue Regelung!
-
- ..ist hier schon Zuhause
- Beiträge: 961
- Registriert: 10. Februar 2003 12:00
Kritische Schwachstelle in der Mail-Verarbeitung bei Sendmai
MfG, MoD-Chippy
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste