Fehler in Mailserver Postfix -- Wietse Venema nimmt Stellung
Diese Episode sei eine Erinnerung daran, dass Bugs nicht notwendigerweise verschwinden, wenn sie korrigiert sind, schreibt der Entwickler des MTAs Postfix zu jüngst neu aufgetauchten Sicherheitslöchern.
In einen Posting auf Bugtraq äußert sich Wietse Venema, Entwickler des MTA Postfix, zu den von Michal Zalewski veröffentlichten Fehlern. Venema weist daraufhin, dass die gefundenen Fehler bereits vor mehr als neun Monaten beseitigt wurden und der neue Code jedermann zu Verfügung steht.
"This episode is a reminder that bugs don't necessarily go away even when they are fixed", schreibt Venema in seinem Memo. Sobald der Source-Code veröffentlicht wird, würde man die Kontrolle darüber verlieren, fügt er hinzu. In der Folge fänden sich dann auch immer wieder eigentlich beseitigte Fehler in "brand-new" Software. Damit spielt Venema auf die seit langem verfügbare Version 2.0 an, die die genannten Fehler nicht enthält. Trotzdem werden aber weiterhin die Versionen 1.11 und 1.12 eingesetzt, womit sich Anwender wieder alte Fehler einhandeln. Zum Vergleich zitiert Venema den ehemaligen Sicherheitsexperten der NSA, Robert Morris Sr., der bereits in den späten siebziger Jahren Sicherheitslücken gestopft haben will, die 20 Jahre später immer noch ausgenutzt wurden.
Postfix ist einer der beliebtesten Mail Transfer Agents (MTA) zum Transport von E-Mail über SMTP. Ziel der Entwicklung war es, einen schnellen, einfach zu administrierenden und sicheren Mailer zu entwickeln. Dennoch ist Postfix weitgehend kompatibel zum weitverbreiteten sendmail. Da Postfix nicht auf setuid-Funktionen zurückgreifen beziehungsweise nicht als root unter Unix-Systemen laufen muss, führen potenzielle Sicherheitslöcher nicht zur gesamten Kompromittierung der Servers. (dab)
