Sicherheitsalarm für Open-Source-Bausteine

silicon.de,

Warnung vor schlummernden Lücken in Sendmail, Open SSH.

Nach einer Reihe von Sicherheitsproblemen mit Microsoft-Betriebssystemen und bestimmten Komponenten darin macht jetzt auch Open-Source-Software negative Sicherheitsschlagzeilen. Gleich in zwei besonders weit verbreiteten Modulen haben Experten Schwachstellen entdeckt, die vor allem die Unternehmens-IT bedrohen.
Zum einen geht es um Sendmail, ein gut 20 Jahre alter SMTP-basierter ‘Message Transfer Agent’ (MTA), der vor allem auf Unix-Servern eingesetzt wird und dort für die Abfertigung von Mails zuständig ist. Dan Ingevaldson von Internet Security Systems warnt nun vor einer “wirklich großen Gefahr”. Er hält einen Exploit für möglich. Betroffen sind Versionen vor 8.12.10. Auch das amerikanische Cert Coordination Center hat eine Warnung herausgegeben.

Es bestehe die Gefahr, dass ein Angreifer beliebigen Code auf dem Zielrechner mit den Rechten des Sendmail-Demon ausführt. In der Regel wird Sendmail mit Root-Rechten betrieben, obwohl es eine Möglichkeit gibt, den MTA lediglich mit Nutzerrechten auszustatten.

Außerdem wird vor einem Fehler in ‘Open SSH’ gewarnt. Das Open-Source-Tool wird für Remote Logons genutzt, wobei der Datenaustausch verschlüsselt wird. Um die Sicherheitslücke auszunutzen, müsste ein Angreifer allerdings schon die Kontrolle über den Zielrechner besitzen, meint Jason Rafail, Sicherheitsspezialist beim Cert. Damit bleibe die Bedrohung zunächst theoretischer Natur.

Allerdings hat der Netzwerkausrüster Cisco bereits eingeräumt, dass einige seiner Produkte betroffen sind, die Open SSH einsetzen. Auch bei dem Linux-Distributor Redhat wie auch bei Sun und IBMs AIX Toolbox für Linux sind verwundbare Open-SSH-Versionen integriert.

Damit dürfte die Diskussion über die Architektur-immanente Sicherheit von proprietären und Open-Source-Betriebssystemen neu entfacht werden. IT-Sicherheitsspezialisten wie Toralv Dirro von Network Associates halten die Auffassung, Open Source sei per se sicherer, ohnehin für eine Mär. Wenn denn beispielsweise Linux erst einmal weiter verbreitet sein wird, werde die Plattform genauso oft zum Ziel von Angriffen wie heutzutage Windows-Betriebssysteme. “Die Qualität von Linux ist eigentlich erschreckend schlecht”, so Dirro.