Neue Lücke in Exim-Agent gefährdet 50% der E-Mail-Server

Publiziert am 7. März 2018 von Günter Born

Eine kritische Sicherheitslücke im Exim Mail transfer agent (MTA) gefährdet gut 50 Prozent aller laufenden E-Mail_Server. Es gibt allerdings ein Update, welches die Lücke schließt.

Anzeige

Exim ist ein Message Transfer Agent (MTA), der auf gut der Hälfte (genauer 56,02%) der weltweit betriebenen E-Mail-Server verwendet wird.

Remote Code Execution Lücke gefunden

Ein taiwanesischer Sicherheitsforscher namens Meh Chang entdeckte den Fehler, den er der Exim-Crew am 2. Februar meldete. Das Exim-Team veröffentlichte am 10. Februar die Exim-Distribution 4.90.1, die das RCE-Problem behebt.

Der Bug, der als CVE-2018-6789 verfolgt wird, wird als "pre-auth remote code execution" kategorisiert. Das bedeutet, dass ein Angreifer den Exim-E-Mail-Server dazu bringen könnte, bösartige Befehle auszuführen, eh sich der Angreifer sich auf dem Server authentifizieren muss.

Der eigentliche Fehler ist ein Ein-Byte-Pufferüberlauf in der base64-Dekodierfunktion von Exim und betrifft alle jemals veröffentlichten Exim-Versionen. Chang beschrieb den Fehler in einem Blog-Beitrag. Dort erläutert er auch die grundlegenden Schritte für die Ausnutzung des SMTP-Daemons von Exim.

Fehler bestätigt, Update vorhanden

In einem Security Advisory bestätigte das Exim-Team das Problem und schreibt: "Momentan sind wir unsicher über den Schweregrad, wir *glauben*, ein Exploit ist schwierig. Eine Abschwächung [Mitigation] ist nicht bekannt", sagte das Exim-Team.

Seit der Veröffentlichung von Exim 4.90.1 sind aktualisierte Exim-Versionen für diverse Linux-Distributionen verfügbar. Bleibt die Frage, wie viele ungepatchte Systeme online bleiben. Da Exim bei weitem der beliebteste Mail-Agent ist, ermöglicht die Sicherheitslücke CVE-2018-6789 eine große Angriffsfläche. Administratoren von E-Mail-Servern mit Exim im Einsatz, sollten sich so schnell als möglich mit der Bereitstellung des Exim 4.90.1-Updates befassen. Noch gibt es keinen öffentlichen Exploit-Code, um die Sicherheitslücke auszunutzen, könnte sich aber bald ändern. (via)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Neue Lücke in Exim-Agent gefährdet 50% der E-Mail-Server

  1. Robert Richter sagt:
    7. März 2018 um 16:20 Uhr

    "Exim ist ein Message Transfer Agent (MTA), der auf gut der Hälfte (genauer 56,02%) der weltweit betriebenen E-Mail-Server verwendet wird."

    Ernsthaft – auf 56,02% ALLER Server?

    Ich finde diese Vorstellung 'gruselig'… – oder besser: Nomen est omen -> (EXperimental Internet Mailer = EXIM)

    Antworten
    • Günter Born sagt:
      7. März 2018 um 16:29 Uhr

      Zu den 56% kann ich nur die Quelle angeben, deren Stichhaltigkeit kann ich nicht nachweisen. Und Experimental muss nichts schlechtes sein, wenn der Code aus dem Experimental-Status herausgekommen ist.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.