Sicherheitsalarm für Open-Source-Bausteine

Nach einer Reihe von Sicherheitsproblemen mit Microsoft-Betriebssystemen und bestimmten Komponenten darin macht jetzt auch Open-Source-Software negative Sicherheitsschlagzeilen. Gleich in zwei besonders weit verbreiteten Modulen haben Experten Schwachstellen entdeckt, die vor allem die Unternehmens-IT bedrohen.
Zum einen geht es um Sendmail, ein gut 20 Jahre alter SMTP-basierter ‘Message Transfer Agent’ (MTA), der vor allem auf Unix-Servern eingesetzt wird und dort für die Abfertigung von Mails zuständig ist. Dan Ingevaldson von Internet Security Systems warnt nun vor einer “wirklich großen Gefahr”. Er hält einen Exploit für möglich. Betroffen sind Versionen vor 8.12.10. Auch das amerikanische Cert Coordination Center hat eine Warnung herausgegeben.

Es bestehe die Gefahr, dass ein Angreifer beliebigen Code auf dem Zielrechner mit den Rechten des Sendmail-Demon ausführt. In der Regel wird Sendmail mit Root-Rechten betrieben, obwohl es eine Möglichkeit gibt, den MTA lediglich mit Nutzerrechten auszustatten.

Außerdem wird vor einem Fehler in ‘Open SSH’ gewarnt. Das Open-Source-Tool wird für Remote Logons genutzt, wobei der Datenaustausch verschlüsselt wird. Um die Sicherheitslücke auszunutzen, müsste ein Angreifer allerdings schon die Kontrolle über den Zielrechner besitzen, meint Jason Rafail, Sicherheitsspezialist beim Cert. Damit bleibe die Bedrohung zunächst theoretischer Natur.

Allerdings hat der Netzwerkausrüster Cisco bereits eingeräumt, dass einige seiner Produkte betroffen sind, die Open SSH einsetzen. Auch bei dem Linux-Distributor Redhat wie auch bei Sun und IBMs AIX Toolbox für Linux sind verwundbare Open-SSH-Versionen integriert.

Damit dürfte die Diskussion über die Architektur-immanente Sicherheit von proprietären und Open-Source-Betriebssystemen neu entfacht werden. IT-Sicherheitsspezialisten wie Toralv Dirro von Network Associates halten die Auffassung, Open Source sei per se sicherer, ohnehin für eine Mär. Wenn denn beispielsweise Linux erst einmal weiter verbreitet sein wird, werde die Plattform genauso oft zum Ziel von Angriffen wie heutzutage Windows-Betriebssysteme. “Die Qualität von Linux ist eigentlich erschreckend schlecht”, so Dirro.

Silicon-Redaktion

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

2 Tagen ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

2 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

3 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

3 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

3 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

4 Tagen ago