Neue Lücke in Exim-Agent gefährdet 50% der E-Mail-Server

Veröffentlicht am 7. März 2018 von Günter Born

Eine kritische Sicherheitslücke im Exim Mail transfer agent (MTA) gefährdet gut 50 Prozent aller laufenden E-Mail_Server. Es gibt allerdings ein Update, welches die Lücke schließt.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Exim ist ein Message Transfer Agent (MTA), der auf gut der Hälfte (genauer 56,02%) der weltweit betriebenen E-Mail-Server verwendet wird.

Remote Code Execution Lücke gefunden

Ein taiwanesischer Sicherheitsforscher namens Meh Chang entdeckte den Fehler, den er der Exim-Crew am 2. Februar meldete. Das Exim-Team veröffentlichte am 10. Februar die Exim-Distribution 4.90.1, die das RCE-Problem behebt.

Der Bug, der als CVE-2018-6789 verfolgt wird, wird als "pre-auth remote code execution" kategorisiert. Das bedeutet, dass ein Angreifer den Exim-E-Mail-Server dazu bringen könnte, bösartige Befehle auszuführen, eh sich der Angreifer sich auf dem Server authentifizieren muss.

Der eigentliche Fehler ist ein Ein-Byte-Pufferüberlauf in der base64-Dekodierfunktion von Exim und betrifft alle jemals veröffentlichten Exim-Versionen. Chang beschrieb den Fehler in einem Blog-Beitrag. Dort erläutert er auch die grundlegenden Schritte für die Ausnutzung des SMTP-Daemons von Exim.

Fehler bestätigt, Update vorhanden

In einem Security Advisory bestätigte das Exim-Team das Problem und schreibt: "Momentan sind wir unsicher über den Schweregrad, wir *glauben*, ein Exploit ist schwierig. Eine Abschwächung [Mitigation] ist nicht bekannt", sagte das Exim-Team.

Seit der Veröffentlichung von Exim 4.90.1 sind aktualisierte Exim-Versionen für diverse Linux-Distributionen verfügbar. Bleibt die Frage, wie viele ungepatchte Systeme online bleiben. Da Exim bei weitem der beliebteste Mail-Agent ist, ermöglicht die Sicherheitslücke CVE-2018-6789 eine große Angriffsfläche. Administratoren von E-Mail-Servern mit Exim im Einsatz, sollten sich so schnell als möglich mit der Bereitstellung des Exim 4.90.1-Updates befassen. Noch gibt es keinen öffentlichen Exploit-Code, um die Sicherheitslücke auszunutzen, könnte sich aber bald ändern. (via)

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Neue Lücke in Exim-Agent gefährdet 50% der E-Mail-Server

  1. Robert Richter sagt:
    7. März 2018 um 16:20 Uhr

    "Exim ist ein Message Transfer Agent (MTA), der auf gut der Hälfte (genauer 56,02%) der weltweit betriebenen E-Mail-Server verwendet wird."

    Ernsthaft – auf 56,02% ALLER Server?

    Ich finde diese Vorstellung 'gruselig'… – oder besser: Nomen est omen -> (EXperimental Internet Mailer = EXIM)

    Antworten
    • Günter Born sagt:
      7. März 2018 um 16:29 Uhr

      Zu den 56% kann ich nur die Quelle angeben, deren Stichhaltigkeit kann ich nicht nachweisen. Und Experimental muss nichts schlechtes sein, wenn der Code aus dem Experimental-Status herausgekommen ist.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.