Eine kritische Sicherheitslücke im Exim Mail transfer agent (MTA) gefährdet gut 50 Prozent aller laufenden E-Mail_Server. Es gibt allerdings ein Update, welches die Lücke schließt.
Anzeige
Exim ist ein Message Transfer Agent (MTA), der auf gut der Hälfte (genauer 56,02%) der weltweit betriebenen E-Mail-Server verwendet wird.
Remote Code Execution Lücke gefunden
Ein taiwanesischer Sicherheitsforscher namens Meh Chang entdeckte den Fehler, den er der Exim-Crew am 2. Februar meldete. Das Exim-Team veröffentlichte am 10. Februar die Exim-Distribution 4.90.1, die das RCE-Problem behebt.
Der Bug, der als CVE-2018-6789 verfolgt wird, wird als "pre-auth remote code execution" kategorisiert. Das bedeutet, dass ein Angreifer den Exim-E-Mail-Server dazu bringen könnte, bösartige Befehle auszuführen, eh sich der Angreifer sich auf dem Server authentifizieren muss.
Der eigentliche Fehler ist ein Ein-Byte-Pufferüberlauf in der base64-Dekodierfunktion von Exim und betrifft alle jemals veröffentlichten Exim-Versionen. Chang beschrieb den Fehler in einem Blog-Beitrag. Dort erläutert er auch die grundlegenden Schritte für die Ausnutzung des SMTP-Daemons von Exim.
Anzeige
Fehler bestätigt, Update vorhanden
In einem Security Advisory bestätigte das Exim-Team das Problem und schreibt: "Momentan sind wir unsicher über den Schweregrad, wir *glauben*, ein Exploit ist schwierig. Eine Abschwächung [Mitigation] ist nicht bekannt", sagte das Exim-Team.
Seit der Veröffentlichung von Exim 4.90.1 sind aktualisierte Exim-Versionen für diverse Linux-Distributionen verfügbar. Bleibt die Frage, wie viele ungepatchte Systeme online bleiben. Da Exim bei weitem der beliebteste Mail-Agent ist, ermöglicht die Sicherheitslücke CVE-2018-6789 eine große Angriffsfläche. Administratoren von E-Mail-Servern mit Exim im Einsatz, sollten sich so schnell als möglich mit der Bereitstellung des Exim 4.90.1-Updates befassen. Noch gibt es keinen öffentlichen Exploit-Code, um die Sicherheitslücke auszunutzen, könnte sich aber bald ändern. (via)
Anzeige
"Exim ist ein Message Transfer Agent (MTA), der auf gut der Hälfte (genauer 56,02%) der weltweit betriebenen E-Mail-Server verwendet wird."
Ernsthaft – auf 56,02% ALLER Server?
Ich finde diese Vorstellung 'gruselig'… – oder besser: Nomen est omen -> (EXperimental Internet Mailer = EXIM)
Zu den 56% kann ich nur die Quelle angeben, deren Stichhaltigkeit kann ich nicht nachweisen. Und Experimental muss nichts schlechtes sein, wenn der Code aus dem Experimental-Status herausgekommen ist.