Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1092

[Generic/Sendmail] Abermals kritische Schwachstelle in Sendmail
(2003-03-29 21:56:00.304901+00) Druckversion

Quelle: http://www.cert.org/advisories/CA-2003-12.html

Sendmail vor Version 8.12.9 weist eine ernste Schwachstelle auf, durch die Angreifer Programmcode mit den Privilegien des Sendmail-Prozesses auf dem beherbergenden Rechnersystem ausführen können. Als Einfallstor kommen dabei offenbar nicht nur eine E-Mail-Nachrichten, sondern auch speziell gestaltete Antworten auf DNS-Anfragen in Frage.

Betroffene Systeme

  • Systeme, die Sendmail vor Version 8.12.9 einsetzen
  • Sendmail Pro (alle Versionen)
  • Sendmail Switch 2.1 vor Version 2.1.6
  • Sendmail Switch 2.2 vor Version 2.2.6
  • Sendmail Switch 3.0 vor Version 3.0.4

Nicht betroffene Systeme

  • Sendmail 8.12.9
  • Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.

Einfallstor

  • Direkteinlieferung über SMTP (i.d.R. über TCP-Port 25),
  • indirekte Einlieferung über ein SMTP-Relay,
  • Verteilung über eine Mailingliste,
  • Einlieferung über UUCP,
  • Einlieferung über ein Web-Formular, welches Adressen nicht strikt prüft.
  • Empfang von Daten von nicht vertrauenswürdigen Systemen, dabei wird explizit auf DNS hingewiesen.

Auswirkung
Der Angreifer kann wahrscheinlich root-Rechte auf dem System erlangen.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Sendmail vor Version 8.12.9 weist eine ernste Schwachstelle auf, durch die Angreifer Programmcode mit den Privilegien des Sendmail-Prozesses auf dem beherbergenden Rechnersystem, ohne vorherige Authentifizierung, ausführen können. Als Einfallstor kommen dabei offenbar nicht nur eine E-Mail-Nachrichten, sondern auch speziell gestaltete Antworten auf DNS-Anfragen von Sendmail in Frage.

Feststellen der Sendmail-Version
Mit den folgenden Befehlen können Sie als lokaler Benutzer feststellen, welche Version von Sendmail läuft (8.12.9 im Beispiel):

$ /usr/lib/sendmail -d0.1 -bt < /dev/null | grep -i version
Version 8.12.9
$ telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 cert.uni-stuttgart.de ESMTP Sendmail 8.12.9/8.12.9; [Datum]
^]
telnet> quit
$ 

In der Default-Konfiguration werden im SMTP-Banner zwei Versionsnummern genannt, die sich unterscheiden können. Die erste ist die aktuelle Sendmail-Version, die zweite die Sendmail-Version, mit der die M4-Konfiguration kompiliert wurde (sie ist i.d.R. älter und an dieser Stelle nicht relevant).

Gegenmaßnahmen

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

  • V.1.0 (2003-03-29)
  • V.1.1 (2003-03-31) FreeBSD, DNS-Antworten sind ein mögliches Einfallstor
  • V.1.2 (2003-04-01) Gentoo, RedHat-Advisories hinzugefügt
  • V.1.3 (2003-04-02) SuSE-Advisory
  • V.1.4 (2003-04-04) Debian-, HP-, Mandrake-, OpenLinux-, SGI-Advisory
  • V.1.5 (2003-04-30) CERT/CC-Information zu IBM-Patches

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.