Remoteangriff auf Exim - aber nur in sehr ungewöhnlicher Konfiguration

Ein Advisory vom 26. Juli 2019 bezieht sich auf den Mailserver Exim. Die Überschrift lautet: "Schwachstelle ermöglicht ausführen von beliebigem Programmcode mit Administratorrechten", auch hier ist von einem Remoteangriff die Rede. Exim ist ein sehr häufig genutzter Mailserver; schlimmer als ein Remoteangriff, der eine Codeausführung mit Administratorrechten ermöglicht, geht es kaum. Und tatsächlich gab es vor nicht allzu langer Zeit eine Sicherheitslücke in Exim, die genau das ermöglicht.

Stellenmarkt

1. über duerenhoff GmbH, Raum Offenbach
2. Netze BW GmbH, Karlsruhe

Doch um diese Lücke geht es in der Ankündigung des Cert-Bund nicht, es geht um eine neue, erst kürzlich entdeckte Sicherheitslücke. Folgt man dem Link zur Ankündigung des Exim-Entwicklers Heiko Schlittermann, erfahren wir eine wichtige Einschränkung: Die Entwickler halten das Risiko dieser Lücke für gering, da sie nur sehr ungewöhnliche Serverkonfigurationen betrifft. Die Standardkonfiguration ist nicht betroffen.

Inzwischen sind weitere Details von Exim zu dieser Sicherheitslücke veröffentlicht worden. Es ist möglich, in der Exim-Konfiguration mit bestimmten Operatoren Variablen zu beeinflussen und einer dieser Operatoren ermöglicht es, den Inhalt einer Variablen zu sortieren. Wenn dieser Sortier-Operator mit einer Variablen verwendet wird, die vom Angreifer kontrollierte Inhalte enthält, ist ein Angriff möglich.

Man kann wohl davon ausgehen, dass die Entwickler von Exim recht haben und die Gefahr gering ist: Die wenigsten Exim-Nutzer dürften eine Konfiguration haben, die davon Gebrauch macht, es handelt sich um ein eher ungewöhnliches Feature.