Postfix-Mailserver unter Beschuss [Update]

In dem Anti-Spam-Modul policyd des Mailservers Postfix wurde eine Schwachstelle entdeckt, die Angreifern unter Umständen erlaubt, übers Netz den E-Mail-Dienst lahmzulegen oder möglicherweise sogar die Kontrolle über den Server zu erlangen. Aus dem CVE-Eintrag der Schwachstelle geht hervor, dass eine unzureichende Längenprüfung in der Funktion w_read() für eingehende SMTP-Kommandos zu einem Pufferüberlauf führen kann, über den sich beliebiger Schadcode einschleusen lässt.

Alle Vorgängerversionen der jüngst erschienenen Version 1.81 sollen von dem Problem betroffen sein. Der policyd-Entwickler Cami Sardinha weist in einem Posting auf der policyd-Mailingliste allerdings darauf hin, dass Default-Installationen nicht von dem Problem betroffen seien, weitere Details nennt er jedoch nicht.

Allerdings warnt nun auch das CERT-Bund des BSI mit einem Advisory vor der Schwachstelle. Mailmaster, die postfix-policyd einsetzen, sollten daher ihre Installation umgehend auf den neuesten Stand bringen. Im Paketsystem der Linux-Distribution Debian beispielweise sind bereits gepatchte 1.80er-Versionen verfügbar.

Derzeit ist noch unklar, ob die Schwachstelle in Verbindung mit den Performance-Problemen steht, von denen einige Mailmaster auf einer öffentlichen Postfix-Mailinglisten berichten. Symptomatisch sei eine seit dieser Woche ansteigende Zahl von Maillog-Einträgen, die mit "lost connection" beginnen, und eine damit einhergehenden Anzahl hängender smtpd-Prozesse. Insbesondere auf stark frequentierten Servern kann dies dazu führen, dass keine freien smtpd-Prozesse mehr zur Verfügung stehen, um neue eingehende Mail-Verbindungen anzunehmen – Timeouts und massive Verzögerungen im Mailverkehr können die Folge sein.

Der Postfix-Spezialist Ralf Hildebrandt, seines Zeichens Mail-Admin der Berliner Charité, äußerte gegenüber heise Security die Vermutung, dass es sich um ein "amoklaufendes Botnetz" handeln könnte. Seine Analyse hat ergeben, dass die vornehmlich aus DSL-Netzen eingehenden Problem-Verbindungen nicht SMTP-konform ablaufen: Lehnt der Mailserver beispielsweise eine Mail mit unbekanntem Empfänger ab, trennt die Gegenstelle abrupt die TCP-Verbindung, ohne die SMTP-Sitzung ordnungsgemäß zu beenden.

Der hauptverantwortliche Postfix-Entwickler Wietse Venema empfiehlt bei vielen hängenden smtpd-Prozessen, die Zahl der vorgehaltenen Prozesse zu erhöhen und mit kurzen Timeouts und weniger Filtern zusätzlich dafür zu sorgen, dass SMTP-Verbindungen möglichst schnell abgewickelt werden.

Update:
Hildebrandt hat eine Liste der bislang vorgeschlagenen Workarounds für die beschriebenen Performance-Probleme zusammengestellt. Weitere Analysen der fehlerhaften SMTP-Anfragen lieferten keinerlei Hinweise, dass sie darauf ausgelegt sind, die policyd-Schwachstelle anzugreifen. Von den Performance-Problemen sind auch Postfix-Server betroffen, die kein policyd-Modul einsetzen.

Siehe dazu auch:

• policyd Release-Notes zur neuen Version 1.81
• CVE-2007-3791, Fehlerdatenbankeintrag zur policyd-Schwachstelle
• lots of "lost connection after" : need help with optimization, Bericht zu Postfix-Performace-Problemen
• Postfix busy, linux idle - what can one do?, Zusammenstellung der Workarounds für die Performance-Probleme

(cr)