Datenschutzbehörde  Datenschutz Europa privacy service
 
2003/03/07 WARNUNG! Unsichere Mailserver - wenig Reaktionen
Am 3.3.03 schwerwiegende Sicherheitslücke bei Mailserver publiziert - Betroffenes Programm in Österreich äußerst beliebt - kaum Reaktionen der Systembetreiber - ARGEDATEN-Mitglieder erhalten Auskunft

Schwerwiegende Sicherheitslücke publiziert

Spezialisten des CERT haben im äußerst beliebten Mail-Server-Programm eine schwerwiegende Sicherheitslücke entdeckt.

Durch Angabe bestimmter Zeichen in einem Mail können Angreifer Systemrechte erlangen. Daher wurde in einer CERT-Aussendung empfohlen, auf die derzeit sichere Version sendmail 8.12.8 zu wechseln. Alle vorangegangenen Versionen gelten als unsicher, wobei meist mehrfache Sicherheitslücken existieren.

Hans G. Zeger: 'Zu diesen nunmehr bekannten Lücken existieren meist auch 'Tools', die es erlauben sogar völlig unerfahrenen, aber entsprechend motivierten Personen, Mailserver anzugreifen zu knacken und etwa als Wirte für weitere Aktionen zu nutzen.'

Das Bösartige des jetztigen Fehlers ist, dass ein Angriff keine Spuren in den Serverprotokollen hinterläßt.


sendmail-Programm in Österreich äußerst beliebt

'sendmail' ist ein in Österreich weit verbreitetes Mailserverprogramm. In einer Stichprobe von mehr als 2000 in Österreich betreibenen Mailservern wurde festgestellt, dass etwa 50% dieses Programm einsetzen.

Hans G. Zeger: 'Sendmail kann als 'Marktführer' bei Mailserver-Programmen angesehen werden. Gerade kleine und mittlere Betriebe, aber auch Internetprovider nutzen, aufgrund der hohen Betriebsstabilität, gern dieses Programm.'

Grund genug, zu überprüfen, ob der Betrieb nach dem Stand der Technik erfolgt, also die Systembetreiber die bestehenden Sicherheitslücken beseitigt haben.


Ernüchterndes Ergebnis - 90% der Systeme veraltet

Die Bandbreite der betriebenen Versionen ist sehr breit, neben der aktuellen Version 8.12.8 (10% der Systeme), nutzen 28% eine ältere (unsichere) Version von 8.12, 35% verwenden 8.11.*, 8% 8.10.* und 15% 8.9.*. Bei 15 Systemen (etwa 2%) wurde sogar die Uraltversion 8.8* gefunden, die überhaupt nicht mehr gewartet wird und technisch völlig veraltet ist.

Hans G. Zeger: 'Mit anderen Worten, auch einige Tage nach bekannt werden der schweren Sicherheitslücke, verwenden rund 90% der Mailbetreiber eine veraltete, teilweise sehr veraltete, Version.'

sendmail.org, die Organisation die den Sendmail-Einsatz weltweit koordiniert und fördert, bietet zwar neben der sicheren Version 8.12.8 auch 'Patches' zu den Versionen 8.12.*, 8.11.*, 8.10.* und 8.9.* an, für 8.8 wird überhaupt nichts angeboten.

Hans G. Zeger: 'Theoretisch ist zwar denkbar, dass einzelne Administratoren der unsicheren Systeme statt dem Upgrade auf die neue, sichere Version nur einen Patch einspielen. Dies erfolgt bestenfalls in Einzelfällen und widerspricht unseren langjährigen Erfahrungen und Beobachtungen. Soweit Updates technisch und finanziell möglich sind, werden diese in der Regel komplett durchgeführt, dies gilt besonders bei OpenSource-Programmen, wie sendmail.'

Dies bedeutet einerseits, dass die Vertraulichkeit der über diese Systeme veschickten Mails nicht mehr sichergestellt werden kann, andererseits ergeben sich für den Mailserver-Betreiber enorme Haftungsprobleme. Dies auch in Hinblick darauf, dass diese Systeme als Aufmarschplattform für Angriffe auf Fremdsysteme verwendet werden können.

Es ist zwar nicht notwendig aktiv Sicherheitslücken in den eigenen betreibenen Systemen aufzuspüren, dazu sind auch die meisten Serverbetreiber überfordert, die Geschäftsführungen sind jedoch, schon allein nach dem Datenschutzgesetz, verpflichtet, bekannte Lücken zu beheben.

Hans G. Zeger: 'Die Situation ist umso problematischer, da die Updates leicht verfügbar sind und bei entsprechendem Fachwissen auch leicht durchführbar sind.


Auskunft über Mailsystem

ARGE DATEN - Mitglieder können Auskunft erhalten, ob das Mailsystem Ihres Betreibers von dieser Sicherheitslücke betroffen ist.

Hans G. Zeger: 'Auf Grund der Schwere der Sicherheitslücke können wir diese Informationen nur an unsere Mitglieder weiter geben. Damit können wir sicher sein, dass kein Mißbrauch mit diesem Wissen betrieben wird.'




Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2025 Information gemäß DSGVO webmaster