Sicherheitslücke: Exim-Sicherheitslücke gefährlicher als gedacht

Eine Sicherheitslücke im Exim-Mailserver lässt sich auch übers Netz zur Codeausführung ausnutzen, der Angriff dauert aber in der Standardkonfiguration mehrere Tage. Lokal ist er trivial und emöglicht es Nutzern, Root-Rechte zu erlangen.

Artikel veröffentlicht am ,
Spezielle Empfängeradressen können im Exim-Mailserver zur Codeausführung genutzt werden.
Spezielle Empfängeradressen können im Exim-Mailserver zur Codeausführung genutzt werden. (Bild: Pexels/Pexels License)

Eine Sicherheitslücke im Mailserver Exim ist deutlich gefährlicher, als man zunächst dachte. Die Sicherheitsfirma Qualys, die den Bug gefunden hat, hat dazu jetzt weitere Details veröffentlicht. Demnach lässt sich der Fehler auch übers Internet ausnutzen, das dauert aber unter Umständen sehr lange.

Stellenmarkt
  1. Wissenschaftler*in - Internet der Dinge (IOT) - mit Promotionsmöglichkeit
    Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Karlsruhe
  2. Senior Software Engineer / Full Stack Developer (m/w/d)
    Bauerfeind AG, Zeulenroda-Triebes
Detailsuche

Die Sicherheitslücke findet sich im Code, der die E-Mail-Adressen der Empfänger einer E-Mail verarbeitet. Hier wird der Lokalteil der Mailadresse an eine Stringformatierungsfunktion übergeben. Diese Funktionalität ist sehr mächtig und besitzt auch Möglichkeiten, direkt Befehle auszuführen.

Kommandos werden beim Parsen der Mailadresse ausgeführt

Damit ist ein Angriff im Grunde trivial: Ein Angreifer muss lediglich eine E-Mail verschicken, bei der der Lokalpart des Empfängers ein entsprechendes Kommando enthält. Für lokale Angreifer funktioniert der Angriff auch direkt so, es können damit auf einem entsprechenden Server mit einem Nutzeraccount Root-Rechte erlangt werden.

Übers Netz wird diese direkte Form des Angriffs aber verhindert, da Mailadressen mit einem Lokalpart, der keinem Nutzer auf dem System entspricht, im Normalfall direkt abgelehnt werden. Die Beschreibung von Qualys listet aber eine Reihe von Situationen auf, in denen das nicht der Fall ist. So schalten etwa einige Mailserverbetreiber diese Verifikation ab, beispielsweise um zu verhindern, dass man von außen trivial testen kann, welche Mailadressen gültig sind.

Golem Akademie
  1. Einführung in die Programmierung mit Rust
    21.-24. September 2021, online
  2. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26. - 28. Oktober 2021, online
Weitere IT-Trainings

Weiterhin unterstützt der Exim-Server eine Option, bei der man getaggte Mailadressen nutzen kann, die aus dem Lokalpart und einem durch ein Plus-Zeichen (+) abgetrennten weiteren Part bestehen, der frei gewählt werden kann. In dem Fall kann der Angriffscode im Teil hinter dem Plus untergebracht werden. In fast allen Fällen hat ein Angreifer damit direkt vollen Zugriff auf den Server, da Exim üblicherweise mit Root-Rechten läuft.

Angriff übers Netz dauert sieben Tage

Auch in der Standardkonfiguration lässt sich die Sicherheitslücke offenbar ausnutzen. Details dazu verschweigt Qualys aber nach wie vor. Es gibt aber demnach wohl eine Möglichkeit, die Lücke trotzdem auszunutzen, wenn man die Verbindung sehr lange offen hält - das Advisory spricht von sieben Tagen - und alle paar Minuten ein Zeichen schickt. Qualys warnt zudem, dass der Code sehr komplex und es denkbar ist, dass es weitere Möglichkeiten zur Ausnutzung der Sicherheitslücke gibt.

Geschlossen wurde die Sicherheitslücke im Version 4.92, die im Februar veröffentlicht wurde. Allerdings hatte man wohl dabei zunächst nicht erkannt, dass es sich um ein Sicherheitsproblem handelt.

Qualys nennt die Sicherheitslücke "The Return of the WIZard". Dabei handelt es sich um eine Anspielung auf ähnliche Bugs in einer Sendmail-Funktion, die in den 90er Jahren entdeckt wurden.

Exim wird vor allem von Debian-Anwendern häufig genutzt, da Exim dort Nutzern als Standard-Mailserver bei der Installation empfohlen wird. Debian hat inzwischen ein Update bereitgestellt und eine Sicherheitswarnung herausgegeben. Auch für andere gängige Linux-Distributionen stehen Updates bereit. Alle Exim-Nutzer sollten diese selbstverständlich so schnell wie möglich installieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Finanzierungsrunde
Onlyfans ist über 1 Milliarde US-Dollar wert

Prominente, Influencer und Erotikfilmstars zeigen sich hier freizügig. Der Umsatz von Onlyfans steigt derzeit stark an.

Finanzierungsrunde: Onlyfans ist über 1 Milliarde US-Dollar wert
Artikel
  1. Netflix: Warum so viele Serien nur zwei Staffeln lang laufen
    Netflix
    Warum so viele Serien nur zwei Staffeln lang laufen

    Die Superhelden-Serie Jupiter's Legacy war bei ihrem Start ein Erfolg bei Netflix. Jetzt wurde sie eingestellt. Wie entscheidet Netflix, ob eine Serie verlängert wird?
    Von Peter Osteried

  2. CD Projekt Red: Update 1.23 für Cyberpunk 2077 mit CPU-Optimierungen
    CD Projekt Red
    Update 1.23 für Cyberpunk 2077 mit CPU-Optimierungen

    Kurz vor dem Neustart von Cyberpunk 2077 im Playstation Store hat CD Projekt Red das Update auf Version 1.23 veröffentlicht.

  3. Model S Plaid: Teslas Knight-Rider-Lenkrad könnte ergonomischer Krampf sein
    Model S Plaid
    Teslas Knight-Rider-Lenkrad könnte ergonomischer Krampf sein

    Das D-förmige Lenkrad im neuen Tesla Model S sorgt für Kontroversen. Erste Fahrer haben es ausprobiert und sind nicht glücklich damit.

tsp 09. Jun 2019

Kenn das jetzt nur von FBSD aber dort kann ich z.B. die Portrange für "privilegierte...

Schnarchnase 08. Jun 2019

Wo denkst du denn, dass man Rekursion braucht? Der Aufbau von E-Mail-Adressen ist ganz...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • PS5 bei o2 bestellbar • Xbox Series X bei MM bestellbar 499,99€ • Breaking Deals (u. a. LG 75" Nanocell 8K 2.699€) • Corsair 32GB 3600 Kit 182,90€ • Ab 18 Uhr: Sharkoon Live Shopping: bis 40% Rabatt • PCGH Gaming-PC RX 6800 XT 2.500€ • Rabatt auf Geschenkkarten bei Amazon [Werbung]
    •  /