ISS X-Force, die Forschungseinheit des auf Netzsicherheit spezialisierten Anbieters Internet Security Systems, hat einen Fehler im Code der aktuellen Open-Source-Version von Sendmail entdeckt. Dieser kommt vorwiegend in Unix-basierenden, aber auch in einigen Windows-gestützten E-Mail-Gateways zum Einsatz.

Die als "Signal Race Vulnerability" bezeichnete Sicherheitslücke betrifft den Sendmail SMTP Server Daemon Version 8.13.5. Sie ermöglicht es Angreifern, die Kontrolle über den Sendmail-Server zu übernehmen. Das Sendmail-Konsortium hat das Sicherheitsloch bereits geflickt, empfiehlt IT-Administratoren jedoch dringend, auf die neue Version Sendmail 8.13.6 umzusteigen. Ein entsprechender Patch ist aber auch separat verfügbar.

Nach Angaben von Alain Sergile, Produkt-Manager bei ISS X-Force, handelt es sich bei der Schwachstelle um eine Variante häufig auftretender Buffer-Overflow-Vulnerabilities. Im aktuellen Fall könne der Server durch in bestimmten Zeitintervallen gesendeten bösartigen Code so manipuliert werden, dass ein Angreifer den betroffenen Host ganz in seine Gewalt bringen kann. (kf)