LĂĽcken in NetBSD behoben
Im März haben die NetBSD-Entwickler mehrere Schwachstellen geschlossen, durch die Angreifer unter Umständen unautorisierten Zugriff auf Mail-Daten erlangen, das System vollständig lahm legen und beliebigen Schadcode übers Netz ausführen lassen können.
Im März haben die NetBSD-Entwickler mehrere Sicherheitslücken geschlossen, durch die Angreifer unter Umständen unautorisierten Zugriff auf Mail-Daten erlangen, das System vollständig lahm legen und beliebigen Schadcode übers Netz ausführen lassen können.
Das mail-Kommando legt für Nutzer systemweit lesbare record-Dateien an, sofern deren Erstellung vom Anwender in seiner .mailrc konfiguriert wurde. Dies erlaubt anderen Nutzern unter Umständen unautorisierten Zugriff auf vertrauliche Mail-Inhalte. Weiterhin lässt sich das System von unprivilegierten Anwendern durch eigene ELF-Interpreter vollständig lahm legen. Außerdem tritt die kürzlich gemeldete sendmail-Schwachstelle auch unter NetBSD zu Tage. Angreifer können durch diese übers Netz beliebigen Schadcode mit Rechten des sendmail-Daemon ausführen lassen.
Die genannten LĂĽcken finden sich in der gesamten 2er- und 3er-Serie von NetBSD. Sofern noch nicht geschehen, sollten Admins die Patches umgehend einspielen.
Siehe dazu auch: (cr)
- mail(1) creates record file with insecure umask, Security-Advisory von NetBSD
- Malformed ELF interpreter causes system crash, Security-Advisory von NetBSD
- Sendmail race condition, Security-Advisory von NetBSD
