ISS und US-Heimatschutzministerium arbeiten zusammen Washington (pte)
- Das Sicherheitsunternehmen Internet Security Systems (ISS) hat eine kritische
Lücke im Message Transfer Agent (MTA) von Sendmail entdeckt. Ein Buffer-Overflow ermöglicht es Angreifern
mit einem speziell präparierten E-Mail-Header sich Root-Rechte oder Superuser-Rechte auf dem Mail-Server einzuräumen.
Dabei muss der Angreifer nicht einmal über besondere Informationen über den Ziel-Server verfügen.
Sendmail ist der am weitesten verbreitete MTA im Internet. Weit mehr als die Hälfte aller E-Mails laufen über
diese Anwendung. Laut ISS sind alle Versionen von 5.79 bis 8.12.7 verwundbar.
Auch das CERT warnt in einem Advisory vor dieser Sicherheitslücke und empfiehlt ein dringendes Update aller
betroffen Systeme. Besonders bedenklich sei, dass auch Server innerhalb von geschützten Netzwerken von diesem
Leck betroffen sein können, da die präparierten Nachrichten durch Firewalls dringen können. Auch
werden die Nachrichten unverändert von Server zu Server weitergereicht.
ISS hat die Sicherheitslücke bereits am 13. Januar entdeckt und die Hersteller von Produkten, die Sendmail
verwenden, unterrichtet. Das Directorate of Information Analysis und Infrastructure Protection (IAIP) des Department
of Homeland Security (DHS), dem US-Heimatschutzministerium, arbeitete mit ISS zusammen, um die Lücke zu schließen.
Gleichzeitig hat das Ministerium nach Informationen von US-Medien verhindert, dass der Bug zu früh bekannt
wurde. Der Vorfall wird in den USA als erster Test des DHS gesehen. Das IAIP soll in Zukunft Bedrohungen im Cyberspace
frühzeitig erkennen und bei deren Abwehr mit der Privatwirtschaft zusammenarbeiten. Die drei Organisationen,
die bisher in den USA für solche Vorfälle zuständig waren, das Federal Incident Response Center,
das National Infrastructure Protection Center und das National Communication System wurden am vergangenen Freitag
offiziell in das DHS übernommen.
In der Vergangenheit hat es in der IT-Sicherheitsszene heftige Debatten über die richtige Veröffentlichung
gegeben. So hatte Microsoft mit seinem Vorstoß zur Nichtveröffentlichung von Sicherheitslücken
heftige Kritik bezogen. Viele Softwareunternehmen fordern zumindest ein Fenster von wenigen Tagen, um die Chance
zu erhalten die Lecks zu stopfen. IT-Sicherheitsexperten wiederum bestehen in der Regel auf "Full Disclosure",
um die Sicherheitslücken besser beurteilen zu können. |