Entwarnung für Postfix und CVE-2015-0235 (GHOST)

Abstract

Ein Buffer Overflow in der gethostbyname-Funktion der glibc eröffnet eine kritische Sicherheitslücke. Postfix ist nicht betroffen.

Qualys beschreibt in seinem Security Advisory CVE-2015-0235 eine schwerwiegende Sicherheitslücke in glibc. Die Lücke ist ein Buffer Overflow in der Funktion gethostbyname, weshalb Qualys die Lücke „GHOST“ genannt hat.

Viele Applikationen nutzen die glibc, und deshalb sind potentiell auch viele Dienste auf Servern von der Lücke betroffen. Postfix kann nicht als Einfallstor genutzt werden. Es nutzt die besagte Funktion seit 2002 nicht mehr. In einer E-Mail schrieb Wietse Venema, der Autor von Postfix, hierzu:

Postfix does not use gethostbyname() since 2002. You have to explictly compile Postfix for pre-IPv6 systems with -DNO_IPV6 to enable the gethostbyname() calls.

Some library function might use gethostbyname(). I have no control over that.

—Wietse Venema

Zu diesem Schluss sind auch die Experten bei Qualys gekommen. Sie testeten viele Applikationen und schreiben in http://seclists.org/oss-sec/2015/q1/283:

"Here is a list of potential targets that we investigated (they all call gethostbyname, one way or another), but to the best of our knowledge, the buffer overflow cannot be triggered in any of them:

apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd, xinetd."

—Qualys Security Advisory

So ziemlich alle Linux-Distributionen stellen mittlerweile Updates zur Verfügung. Nach dem Einspielen müssen betroffene Dienste gestoppt und gestartet werden – ein Reload genügt in der Regel nicht. Ein Reboot ist nicht notwendig.

Patrick Koetter, 28. January 2015

   Postfix    GHOST