heise PlusAbo
Anzeige

Sicherheitsprobleme in Mailserver Postfix

Schwachstellen im Message Transfer Agent Postfix veranlassen die Distributoren, Updates herauszugeben.

vorlesen Druckansicht 118 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Michal Zalewski berichtet auf Full-Disclosure von zwei Schwachstellen im Mail Transfer Agent (MTA) Postfix. MTAs dienen dazu, E-Mails zwischen den einzelnen Mail-Servern beziehungsweise von MTA zu MTA weiterzuleiten oder an lokale Adressen auszuliefern.

Eine spezielle "Envelope Adress" kann bei Postfix den Queue Manager blockieren, bis ein Eintrag aus der Queue entfernt wird. AuĂźerdem kann der SMTP-Listener blockieren. Betroffen sind alle Versionen bis einschlieĂźlich 1.1.12. Wietse Venema, Entwickler von Postfix, wurde bereits am 27. Juli informiert und hat einen Patch zu VerfĂĽgung gestellt, den alle Distributoren in aktualisierte Pakete haben einfliessen lassen und zur VerfĂĽgung stellen.

Ein weiterer Fehler ermöglicht einem Angreifer, Postfix bis einschließlich Version 1.1.11 für sogenannte Bounce-Scans und Distributed Denial-of-Service-Attacken (DDoS) zu mißbrauchen. Der Fehler ist in Version 1.1.12 bereits behoben, wurde aber nie als Sicherheitsproblem der vorherigen Versionen beschrieben. Da Version 1.1.11 aber immer noch relativ häufig eingesetzt wird, entschloss sich Zaleswki, die Schwachstelle in seinem Advisory explizit zu erwähnen.

Bei Bounce-Scans wird ein dritter Rechner -- hier der fehlerhafte Postfix-MTA -- benutzt, um offene Ports eines Systems zu ĂĽberprĂĽfen. Bei der Angabe einer Adresse, zum Beispiel "RCPT TO:", erlaubt Postfix Angaben wie: 

<[server_ip]:service!@local-host-name>

Ein Angreifer kann hier beliebige IP-Adressen und Ports angeben, zu denen Postfix anschlieĂźend eine SMTP-Verbindung aufbaut. Diese scheitert dann in der Regel, aber es ist erkennbar, ob der Port offen war. Dies funktioniert auch fĂĽr Netze, die ein Angreifer hinter einer Firewall eigentlich nicht erreichen kann, in die aber der Postfix-MTA Verbindungen aufbauen kann. Verwendet man diese Methode mit einer Vielzahl von MTAs, sind DDoS-Attacken denkbar.

Anwender von Postfix sollten auf die neueste Versionen 1.1.13 oder 2.0.x wechseln. Wenn das Upgrade nicht möglich sein sollte, gibt es verschiedene Workaround, die Zalewski in seiner Meldung beschreibt (dab)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten