Der Sendmail Overflow-Bug – eine vollständige Analyse

Geringere Gefährdung
Wie bereits erwähnt, läuft die Diskussion darüber noch, ob diese Sendmail-Sicherheitslücke eine weit verbreitete Bedrohung ist oder ob sie, aufgrund verschiedener Faktoren, die die Gefahr verringern, nur auf einigen wenigen Systemen ausgenutzt werden kann. Last Stage of Delirium sagte, dass ihr Vortest dieser Sicherheitslücke zeigte, dass sie nicht so gefährlich war, wie zunächst angenommen.

„Aufgrund der Charakteristik der beschriebenen Sendmail-Sicherheitslücke scheint sie auf den meisten kommerziell verfügbaren Unix-Systemen nicht ausnutzbar zu sein. Auch auf den meisten standardmäßigen SMTP-Installationen auf x86-basierenden Open-Source-Systemen scheint sie nicht ausnutzbar zu sein. Dies führt zu der Schlussfolgerung, dass die Auswirkungen dieser Sicherheitslücke insgesamt eher beschränkt und nicht so bedeutend sein dürften, wie man zunächst annehmen mag.“

Die Analyse der Gruppe deckte jedoch nur einen möglichen Ausnutzungsmechanismus auf Unix- und Linux- (Slackwave und Red Hat) Servern ab.

In einem BugTraq-Posting antwortete Eric Allman von Sendmail auf das Herunterspielen der Sicherheitslücke durch die Gruppe Last Stage of Delirium und sagte: „Abgesehen von der direkten Ausführung des Exploits gibt es weitere Variablen, die keine Hinweise auf Sicherheitsfunktionen enthalten; einen von diesen in greifbarer Nähe zu finden wird zwar schwieriger, aber bestimmt nicht unmöglich sein… Unabhängig von der eingesetzten Plattform sollten alle Betroffenen so bald wie möglich einen Patch installieren.“

Abhilfe – Patch oder Update auf Sendmail Version 8.12.9
Sendmail.org hat Patches für die Versionen 8.9, 8.10, 8.11 und 8.12 bereit gestellt, die Sicherheitslücke tritt aber auch in früheren Versionen auf. Für diejenigen, die eine frühere Version der Software einsetzen, empfiehlt Sendmail.org den Open-Source-Usern, die ältere Versionen als 8.9 verwenden, die Möglichkeit zum Update auf die neueste Version zu nutzen. Sendmail Inc. stellt außerdem einen binären Patch für die Nutzer der kommerziellen Softwareversionen zur Verfügung.

ISS hat einen „virtuellen“ Patch für die Sendmail-Sicherheitslücke entwickelt, der die Plattform Dynamic Threat Protection dieses Sicherheitsunternehmens verwendet. Die Updates stehen im ISS Download-Center zur Verfügung.

Schlusswort
ISS meldet, Sendmail am 13. Januar 2003 über die Sicherheitslücke in Kenntnis gesetzt und noch am gleichen Tag die Bestätigung des Herstellers erhalten zu haben. ISS arbeitete mit dem Hersteller zusammen und spricht von einer guten Kooperation. Erst am 3. März 2003 gab es eine öffentliche Bekanntmachung.

Trotzdem muss man sich wundern, warum die Gruppe Last Stage of Delirium es für nötig erachtete, einen detaillierten Proof-of-Concept für diesen Sendmail-Bug zu veröffentlichen, dessen Existenz von niemandem angezweifelt wurde. Die erste Gruppe, die eine Sicherheitslücke entdeckt (in diesem Fall ISS), hat einen triftigen Grund zur Veröffentlichung eines Proof-of-Concept in dem sie aufzeigt, wie man einen Angriff ausführen kann, vor allem wenn sie von dem Hersteller ignoriert wird. Welcher legitime Zweck wird aber erfüllt, wenn dies geschieht, nachdem alle zugeben, dass es ein Problem gibt und bereits dazu übergehen, es zu beheben?

Der Nutzen dieser Veröffentlichung wäre deutlicher sichtbar, hätte die Last Stage of Delirium die Sicherheitslücke vollständig erforscht und aufzeigen wollen, dass sie nicht besonders gefährlich war. Ihr BugTraq-Report begann jedoch mit den Worten „Wir haben keine vollständige Analyse dieses Problems durchgeführt“, und endete „Wir können jedoch nicht ausschließen, dass es eine weitere Ausführungsmöglichkeit im Sendmail-Code gibt, die den Überschreibmodus des Programmzählers auslösen könnte.“ Andererseits funktioniert der Exploit diesem Bericht zufolge wirklich nicht besonders gut. So gesehen, denke ich, dass die Veröffentlichung dieses Exploits keine große Bedrohung darstellte, zumindest solange niemand andere Möglichkeiten zur Ausnutzung dieses Bugs entdeckt.