Eine ernste Schwachstelle in Sendmail erlaubt es, durch die Einlieferung von Mail das System zu kompromittieren.

Betroffene Systeme

• Systeme, die Sendmail in den Versionen 5.79 bis 8.12.7 einsetzen.
• Systeme, die IDA Sendmail in der Version 5.67c einsetzen.

Nicht betroffene Systeme

• Sendmail 8.12.8
• Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.

Einfallstor
Ein Angreifer muß in der Lage sein, Nachrichten an das System zu schicken. Der Weg ist dabei zweitrangig. Möglichkeiten sind dazu unter anderem:

• Direkteinlieferung über SMTP (i.d.R. über TCP-Port 25),
• indirekte Einlieferung über ein SMTP-Relay,
• Verteilung über eine Mailingliste,
• Einlieferung über UUCP,
• Einlieferung über ein Web-Formular, welches Adressen nicht strikt prüft.

Auswirkung
Der Angreifer kann typischerweise root-Rechte auf dem System erlangen.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Ein Pufferüberlauf im Adreß-Parser von Sendmail kann von Angreifern zur Kompromittierung des Systems ausgenutzt werden. Diese Schwachstelle ist besonders kritisch, da keine direkte Verbindung für einen erfolgreichen Angriff notwendig ist. Massenweise Angriffe, zum Beispiel über Mailinglisten, scheinen im Rahmen des Möglichen zu liegen.

Da die Schwachstelle bei der Verarbeitung von überlangen Adressen auftritt, kann auf Relays vor dem betroffenen Sendmail versucht werden, kritische Nachrichten zu filtern. Momentan ist jedoch noch unklar, wie diese Regeln aussehen müssen. Ohne weitere Maßnahmen sind Sendmail-Systeme hinter Relays ebenfalls verwundbar.

Es gibt Berichte, daß gepatchte Sendmail-Versionen alle Angriffe mit der Meldung "Dropped invalid comments from header address" im Log verwerfen sollen. Aufgrund der Tatsache, daß die Liste der Spezial-Header, die Sendmail dem Adreß-Parser übergibt, in dokumentierter Weise bei der Kompilierung konfigurierbar ist und viele Hersteller Sendmail anpassen, ist zu befürchten, daß selbst ein gepatchtes Sendmail-Relay Angriffe auf dahinterliegende Mailserver passieren läßt. Als erste Verteidigung gegen das mögliche Auftreten eines Wurmes sollten Relays natürlich trotzdem zuerst aktualisiert werden.

Betroffen sind auch historische Versionen (z.B. Sendmail 5). Da diese wahrscheinlich auch weitere Probleme aufweisen, sollten sie bei dieser Gelegenheit ersetzt werden. Die von ISS genannte untere Schranke (5.79) scheint nicht in allen Fällen (zum Beispiel in bezug auf den IDA-Branch) zu stimmen.

Feststellen der Sendmail-Version
Mit den folgenden Befehlen können Sie als lokaler Benutzer feststellen, welche Version von Sendmail läuft (8.12.8 im Beispiel):

$ /usr/lib/sendmail -d0.1 -bt < /dev/null | grep -i version
Version 8.12.8
$ telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 cert.uni-stuttgart.de ESMTP Sendmail 8.12.8/8.12.8; [Datum]
^]
telnet> quit
$ 

In der Default-Konfiguration werden im SMTP-Banner zwei Versionsnummern genannt, die sich unterscheiden können. Die erste ist die aktuelle Sendmail-Version, die zweite die Sendmail-Version, mit der die M4-Konfiguration kompiliert wurde (sie ist i.d.R. älter und an dieser Stelle nicht relevant).

Typischerweise verändern die Hersteller-Patches die Versionsnummer nicht, weswegen das erfolgreiche Einspielen eines Patches nicht unmittelbar ermittelt werden kann. Alle bisher untersuchten Updates basieren aber auf offiziellen Patches, die eine neue Zeichenkette in das sendmail-Programm aufnehmen. Diese Zeichenkette läßt sich mit den üblichen UNIX-Werkzeugen ermitteln:

$ strings -a /usr/lib/sendmail | grep ^Dropped
Dropped invalid comments from header address
$ 

Beim Vorliegen der Zeichenkette "Dropped invalid comments from header address" wurde der Programmcode gepatcht, wenn sie fehlt, wahrscheinlich nicht. Hinweis: Stellen Sie unbedingt sicher, daß der Programmcode nach dem Patch auch ausgeführt wird. Führen Sie notfalls einen Neustart des Systems durch.

(Gegenwärtig ist dem RUS-CERT leider keine Möglichkeit bekannt, zuverlässig verwundbare und nicht verwundbare Systeme über das Netz zu unterscheiden.)

Gegenmaßnahmen

• Upgrade auf Sendmail 8.12.8.
  
• Für ältere Versionen werden Patches bereitgestellt.
• Mehrere Hersteller veröffentlichten bereits Advisories für ihre Produkte:
  • Apple Mac OS X
  • Conectiva
  • Debian
  • FreeBSD
  • Gentoo
  • HP
  • IBM AIX
  • Mandrake
  • NetBSD
  • OpenPKG
  • Red Hat
  • SGI Irix
  • Sun Solaris
  • SuSE

Vulnerability ID

• CAN-2002-1337
• CERT/CC Vulnerability Note VU#398025

Weitere Information zu diesem Thema

• Ankündigung von Sendmail 8.12.8
• ISS Security Advisory: Remote Sendmail Header Processing Vulnerability
• CERT/CC Advisory CA-2003-07
• Proof-of-Concept Exploit (BUGTRAQ)
• Eric Allman, Sendmail-Entwickler, zum Proof-of-Concept Exploit (BUGTRAQ)

Revisionen dieser Meldung

• V.1.0 (2003-03-03)
• V.1.1 (2003-03-03) SuSE, Mandrake, Conectiva aufgenommen
• V.1.2 (2003-03-04) Sun, Apple, NetBSD, Debian, OpenPKG, Gentoo, HP aufgenommen, Hinweis auf das Verhalten eines gepatchten Sendmail-Relays
• V.1.3 (2003-03-04) Hinweise zu Versionsermittlung
• V.1.4 (2003-03-07) IDA Sendmail 5.67c

Weitere Artikel zu diesem Thema:

• [Generic/Sendmail] Weitere Schwachstelle in der Adreßverarbeitung (2003-09-18)
  Eine weitere Schwachstelle in dem Code von Sendmail, der Adressen verarbeitet, wurde entdeckt. Es sind wahrscheinlich Angriffe übers Netz möglich.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/