2003/03/07 WARNUNG! Unsichere Mailserver - wenig Reaktionen
Am 3.3.03 schwerwiegende Sicherheitslücke bei Mailserver publiziert - Betroffenes Programm in Österreich äußerst beliebt - kaum Reaktionen der Systembetreiber - ARGEDATEN-Mitglieder erhalten Auskunft
Schwerwiegende Sicherheitslücke publiziert
Spezialisten des CERT haben im äußerst beliebten Mail-Server-Programm eine schwerwiegende Sicherheitslücke entdeckt.
Durch Angabe bestimmter Zeichen in einem Mail können Angreifer Systemrechte erlangen. Daher wurde in einer CERT-Aussendung empfohlen, auf die derzeit sichere Version sendmail 8.12.8 zu wechseln. Alle vorangegangenen Versionen gelten als unsicher, wobei meist mehrfache Sicherheitslücken existieren.
Hans G. Zeger: 'Zu diesen nunmehr bekannten Lücken existieren meist auch 'Tools', die es erlauben sogar völlig unerfahrenen, aber entsprechend motivierten Personen, Mailserver anzugreifen zu knacken und etwa als Wirte für weitere Aktionen zu nutzen.'
Das Bösartige des jetztigen Fehlers ist, dass ein Angriff keine Spuren in den Serverprotokollen hinterläßt.
sendmail-Programm in Österreich äußerst beliebt
'sendmail' ist ein in Österreich weit verbreitetes Mailserverprogramm. In einer Stichprobe von mehr als 2000 in Österreich betreibenen Mailservern wurde festgestellt, dass etwa 50% dieses Programm einsetzen.
Hans G. Zeger: 'Sendmail kann als 'Marktführer' bei Mailserver-Programmen angesehen werden. Gerade kleine und mittlere Betriebe, aber auch Internetprovider nutzen, aufgrund der hohen Betriebsstabilität, gern dieses Programm.'
Grund genug, zu überprüfen, ob der Betrieb nach dem Stand der Technik erfolgt, also die Systembetreiber die bestehenden Sicherheitslücken beseitigt haben.
Ernüchterndes Ergebnis - 90% der Systeme veraltet
Die Bandbreite der betriebenen Versionen ist sehr breit, neben der aktuellen Version 8.12.8 (10% der Systeme), nutzen 28% eine ältere (unsichere) Version von 8.12, 35% verwenden 8.11.*, 8% 8.10.* und 15% 8.9.*. Bei 15 Systemen (etwa 2%) wurde sogar die Uraltversion 8.8* gefunden, die überhaupt nicht mehr gewartet wird und technisch völlig veraltet ist.
Hans G. Zeger: 'Mit anderen Worten, auch einige Tage nach bekannt werden der schweren Sicherheitslücke, verwenden rund 90% der Mailbetreiber eine veraltete, teilweise sehr veraltete, Version.'
sendmail.org, die Organisation die den Sendmail-Einsatz weltweit koordiniert und fördert, bietet zwar neben der sicheren Version 8.12.8 auch 'Patches' zu den Versionen 8.12.*, 8.11.*, 8.10.* und 8.9.* an, für 8.8 wird überhaupt nichts angeboten.
Hans G. Zeger: 'Theoretisch ist zwar denkbar, dass einzelne Administratoren der unsicheren Systeme statt dem Upgrade auf die neue, sichere Version nur einen Patch einspielen. Dies erfolgt bestenfalls in Einzelfällen und widerspricht unseren langjährigen Erfahrungen und Beobachtungen. Soweit Updates technisch und finanziell möglich sind, werden diese in der Regel komplett durchgeführt, dies gilt besonders bei OpenSource-Programmen, wie sendmail.'
Dies bedeutet einerseits, dass die Vertraulichkeit der über diese Systeme veschickten Mails nicht mehr sichergestellt werden kann, andererseits ergeben sich für den Mailserver-Betreiber enorme Haftungsprobleme. Dies auch in Hinblick darauf, dass diese Systeme als Aufmarschplattform für Angriffe auf Fremdsysteme verwendet werden können.
Es ist zwar nicht notwendig aktiv Sicherheitslücken in den eigenen betreibenen Systemen aufzuspüren, dazu sind auch die meisten Serverbetreiber überfordert, die Geschäftsführungen sind jedoch, schon allein nach dem Datenschutzgesetz, verpflichtet, bekannte Lücken zu beheben.
Hans G. Zeger: 'Die Situation ist umso problematischer, da die Updates leicht verfügbar sind und bei entsprechendem Fachwissen auch leicht durchführbar sind.
Auskunft über Mailsystem
ARGE DATEN - Mitglieder können Auskunft erhalten, ob das Mailsystem Ihres Betreibers von dieser Sicherheitslücke betroffen ist.
Hans G. Zeger: 'Auf Grund der Schwere der Sicherheitslücke können wir diese Informationen nur an unsere Mitglieder weiter geben. Damit können wir sicher sein, dass kein Mißbrauch mit diesem Wissen betrieben wird.'
|