{"id":286619,"date":"2023-10-02T08:04:09","date_gmt":"2023-10-02T06:04:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=286619"},"modified":"2023-10-04T00:37:11","modified_gmt":"2023-10-03T22:37:11","slug":"cert-bund-warnt-vor-schwachstelle-im-exim-mail-transfer-agent-mta","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/10\/02\/cert-bund-warnt-vor-schwachstelle-im-exim-mail-transfer-agent-mta\/","title":{"rendered":"CERT-Bund warnt vor Schwachstelle im Exim Mail Transfer Agent (MTA)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Noch ein kleiner Nachtrag von Ende letzter Woche. Im Mail Transfer Agent (MTA) und Open Source Mailserver gibt es gleich mehrere kritische Schwachstellen. CERT-Bund warnt vor diesen Schwachstellen, da Angreifer \u00fcber den SMTP-Dienst beliebigen Code ausf\u00fchren k\u00f6nnten. Inzwischen haben die Entwickler Sicherheitsupdates bereitgestellt. Wer den Exim MTA als Mailserver einsetzt, sollte diesen dringend umgehend patchen.<\/p>\n

<\/p>\n

Was ist Exim?<\/h2>\n

\"\"Das K\u00fcrzel Exim<\/a> <\/em>steht f\u00fcr EXperimental Internet Mailer<\/em>,\u00a0 ein Mail Transfer Agent und Mailserver. Das Programm wurde 1995 an der University of Cambridge von Philip Hazel entwickelt, ist freie Software und ist aus Smail-3 hervorgegangen.\u00a0 Exim ist weitgehend aufrufkompatibel zu dem traditionsreichen MTA Sendmail.<\/p>\n

Die besondere besondere St\u00e4rke von Exim liegt in einer sehr flexiblen, aber trotzdem einfachen Konfiguration. So kann Exim Daten aus einer Vielzahl von Datenquellen\/Datenbanken extrahieren und auch flexibel weiterverarbeiten bzw. speichern. Weiterhin verf\u00fcgt Exim \u00fcber eingebaute Regul\u00e4re Ausdr\u00fccke (PCRE) und eine einfache, aber sehr m\u00e4chtige Skriptsprache. Exim erlaubt es au\u00dferdem, einen Perl-Interpreter einzubinden, wodurch eigene Perl-Skripte benutzt werden k\u00f6nnen, die dann z. B. Anbindungen an andere Datenbanken erm\u00f6glichen oder besondere Pr\u00fcfungen durchf\u00fchren.<\/p>\n

Warnung des CERT-Bund<\/h2>\n

Mir ist bereits zum Wochenende die Warnung<\/a> des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) vor (damals) ungepatchten Schwachstellen in Exim untergekommen.<\/p>\n

\"Exim<\/a><\/p>\n

\u00c4ltere Versionen des Open Source Mail Transfer Agent (MTA) Exim weisen gleich mehrere schwerwiegende ungepatchte Schwachstellen auf. Besonders kritisch die Buffer Overflow Schwachstelle CVE-2023-42115 in der SMTP-Implementierung. Diese erm\u00f6glicht einem entfernten, unauthorisierten, Angreifer gegebenenfalls die Remote-Ausf\u00fchrung von Code mit Rechten des Service Accounts, mit dem Exim betrieben wird.<\/p>\n

Der spezifische Fehler besteht laut der Zero Day Initiative<\/a> (ZDI) innerhalb des smtp-Dienstes, der standardm\u00e4\u00dfig auf TCP-Port 25 lauscht. Das Problem resultiert aus dem Fehlen einer ordnungsgem\u00e4\u00dfen Validierung der vom Benutzer bereitgestellten Daten, was dazu f\u00fchren kann, dass ein Schreibvorgang \u00fcber das Ende eines Puffers hinausgeht. Ein Angreifer kann diese Schwachstelle ausnutzen, um Code im Kontext des Dienstkontos auszuf\u00fchren.<\/p>\n

Die Schwachstelle wird mit einer CVSS-Bewertung von 9.8 (\"kritisch\") eingestuft. \u00dcber die Remote-Code-Ausf\u00fchrung k\u00f6nnte es Angreifenden unter anderem m\u00f6glich sein, sensible Daten inkl. transportverschl\u00fcsselter E-Mails abflie\u00dfen zu lassen. Alle Schwachstellen in Exim wurden im Juni 2022 an den Hersteller gemeldet und nach Ablauf des f\u00fcr die Entwicklung von Patches einger\u00e4umten Zeitfensters durch die Zero Day Initiative<\/a> am 27.9.2023 ver\u00f6ffentlicht.<\/p>\n

Patches verf\u00fcgbar<\/h2>\n

Zum 29. September 2023 hie\u00df es, dass noch keine Patches zur Verf\u00fcgung stehen, obwohl der Fehler ein Jahr vorher gemeldet wurde. Zu dieser Zeit der Offenlegung war unbekannt, ob und wie die in Entwicklung befindliche Exim-Version 4.97 die Schwachstellen schlie\u00dfen wird (so steht es auch in der BSI-Warnung). Die einzig sinnvolle Abhilfestrategie bestand laut ZDI darin, die Interaktion mit der Anwendung einzuschr\u00e4nken.<\/p>\n

Allerdings handelt es sich bei der ZDI-Meldung um eine koordinierte Ver\u00f6ffentlichung. Die Exim-Entwickler haben auf seclists.org die Meldung Exim4 MTA CVEs assigned from ZDI<\/a> ver\u00f6ffentlicht und beschweren sich \u00fcber die Kommunikation mit der ZDI, es gab keine Antworten auf Nachfragen, so dass die Fehler nur schwer identifiziert werden konnten. Inzwischen sind aber die meisten Schwachstellen gefixt:<\/p>\n