Network Security

AERAsec
Network Security
Internet-Dienste
Sendmail

Sendmail  

In Verbindung mit dem Programm sendmail gab es immer wieder Sicherheitslücken. Von der Anzahl her sind es aber in den letzten Jahren erheblich weniger geworden und ein sicherer Betrieb ist, eine gute Konfiguration vorausgesetzt, möglich - sofern die aktuelle Version zum Einsatz kommt. Die derzeit aktuelle Version ist 8.15.2. Aus Gründen der Sicherheit sollte heute auf keinem Fall eine niedrigere Version als 8.13.7 zum Einsatz kommen! In ihr sind seit der Version 8.8.x u.a. folgende Risiken bereinigt worden:
  • Seit Version 8.9.0 besteht auch die Möglichkeit, Spamming über den Mailserver zu verhindern.
  • Version 8.9.2 verhindert unter Linux den accept() Denial-of-Service Angriff und die Unterstützung von DB2.x unter Berkeley Unix ist verbessert worden. Eine genaue Beschreibung findet sich in den Release-Notes, Hinweise zur Installation unter verschiedenen Systemen finden sich hier.
  • In Version 8.9.3 ist der Schutz gegen einen weiteren Denial-of-Service Angriff, sowie einige kleinere Verbesserungen implementiert worden.
  • Die von sendmail gemeldete Sicherheitslücke im AIX 4.x Linker ist in Version 8.10.1 mit einem Workaround ausgeschlossen worden.
  • Version 8.10.2 führte u.a. strengere Überprüfungen für gid's ein, die aber in Version 8.11.0 wieder gelockert werden.
  • Die Version 8.11.2 zeigt einige Bereinigungen von (Minor-) Bugs und u.a. einige Verbesserungen im Bereich LDAP.
  • Durch eine neue Behandlung von Signals in der Kommunikation mit anderen MTA's ist die Gefahr von Race Conditions verringert.
  • Bei Version 8.11.4 bestand die Möglichkeit einer race-condition.
  • Bei Version 8.11.5 konnte durch übergroße Debug-Parameter eine Speicherverletzung erzeugt werden.
  • Version 8.12.0 hatte die Möglichkeit eines lokalen Exploit, bösartige Benutzer konnten Zugriff auf die Mail-Queue erhalten.
  • In Version 8.12.3 sind einige Bugs aus 8.12.0 bis 8.12.2 gefixt worden. Die aktuelle Version bereinigt einige Bugs, die bei den bisherigen Versionen u.a. im Bereich MIME vorhanden sind. Gegenüber Version 8.11.x sind hier speziell in den Bereichen Performance und Sicherheit weitere nützliche Dinge implementiert.
  • In Version 8.12.4 ist ein Datei-Locking-Problem aufgrund nicht optimaler Berechtigungen behoben worden.
  • In der Version 8.12.5 wurde ein potentieller Pufferüberlauf behoben, der in einem Programmteil auftreten konnte, der von keiner der mit Sendmail ausgelieferten Konfigurationsdateien ausgeführt wird.
  • In der Version 8.12.6 wurde ein Problem behoben, bei dem Sendmail als offenes Mailrelay agierte, falls FallbackMXhost und FEATURE(`relay_based_on_MX') gemeinsam konfiguriert waren. Zusätzlich wurden mehrere (Minor-) Bugs behoben.
  • Version 8.12.7 behebt das im Dezember 2002 aufgetretene Problem mit smrsh, auch ist der Patch für die Sicherheitslücke bezüglich BIND in dieser Version enthalten.
  • Version 8.12.8 wurde im März 2003 veöffentlicht, da alle bisherigen Versionen einen Pufferüberlauf in der Weiterbearbeitung der Header zeigen - und so Angreifern ohne grosse Probleme über das Netzwerk Root-Rechte auf dem System bieten.
  • Ende März 2003 erschien Version 8.12.9, da in allen bisher veröffentlichten Versionen ein Pufferüberlauf beim Umwandeln von IP-Adressdaten in Integer-Zahlen auch über das Netzwerk (z.B. DNS) möglich ist.
  • Mitte September 2003 erschien Version 8.12.10, da in allen bisher veröffentlichten Versionen ein weiterer Pufferüberlauf in der Funktion prescan() gefunden wurde. Es reicht aus, eine E-Mail mit manipuliertem Header durchzuschicken, um das System zu kompromitieren.
  • Mitte März 2006 erschien Version 8.13.6, da in allen bisher veröffentlichten Versionen eine Race-Condition in der asynchronen Signalbehandlung gefunden wurde, die für einen remote-root-Exploit benutzt werden kann..
  • Mitte Juni 2006 erschien Version 8.13.7, da in allen bisher veröffentlichten Versionen bei der Umkodierung von MIME 8-bit zu 7-bit sämtlicher Speicher im Stack-Segment aufgebraucht werden kann, so dass der Prozess abstürzt und keine Auslieferung mehr erfolgt. Dies kann für einen Denial-of-Service-Angriff benutzt werden.
Die jeweils neueste Version, aber auch Patches, sind über Anonymous FTP verfügbar. Die aktuellste Version mindert nochmals die Anzahl der bekannt gewordenen Bugs.
Weitere nützliche Informationen über sendmail sind auch im Web abrufbar: www.sendmail.org. Auch in den Newsgroups wird über sendmail diskutiert: comp.mail.sendmail (dieser Link setzt voraus, dass Sie auf Ihren NewsServer zugreifen können).
Eine einfachere Installation und Konfiguration über Browser bietet die kommerzielle Version von sendmail.
Übrigens: Die auf dem System installierte Version von sendmail läßt sich so abfragen:


sendmail -d0 -bt < /dev/null | grep Version