Original-URL des Artikels: https://www.golem.de/news/sicherheitsluecke-root-zugriff-fuer-angreifer-bei-exim-mailservern-1906-141729.html    Veröffentlicht: 06.06.2019 10:41    Kurz-URL: https://glm.io/141729

Sicherheitslücke

Exim-Sicherheitslücke gefährlicher als gedacht

Eine Sicherheitslücke im Exim-Mailserver lässt sich auch übers Netz zur Codeausführung ausnutzen, der Angriff dauert aber in der Standardkonfiguration mehrere Tage. Lokal ist er trivial und emöglicht es Nutzern, Root-Rechte zu erlangen.

Eine Sicherheitslücke im Mailserver Exim ist deutlich gefährlicher, als man zunächst dachte. Die Sicherheitsfirma Qualys, die den Bug gefunden hat, hat dazu jetzt weitere Details veröffentlicht. Demnach lässt sich der Fehler auch übers Internet ausnutzen, das dauert aber unter Umständen sehr lange.

Die Sicherheitslücke findet sich im Code, der die E-Mail-Adressen der Empfänger einer E-Mail verarbeitet. Hier wird der Lokalteil der Mailadresse an eine Stringformatierungsfunktion übergeben. Diese Funktionalität ist sehr mächtig und besitzt auch Möglichkeiten, direkt Befehle auszuführen.

Kommandos werden beim Parsen der Mailadresse ausgeführt

Damit ist ein Angriff im Grunde trivial: Ein Angreifer muss lediglich eine E-Mail verschicken, bei der der Lokalpart des Empfängers ein entsprechendes Kommando enthält. Für lokale Angreifer funktioniert der Angriff auch direkt so, es können damit auf einem entsprechenden Server mit einem Nutzeraccount Root-Rechte erlangt werden.

Übers Netz wird diese direkte Form des Angriffs aber verhindert, da Mailadressen mit einem Lokalpart, der keinem Nutzer auf dem System entspricht, im Normalfall direkt abgelehnt werden. Die Beschreibung von Qualys listet aber eine Reihe von Situationen auf, in denen das nicht der Fall ist. So schalten etwa einige Mailserverbetreiber diese Verifikation ab, beispielsweise um zu verhindern, dass man von außen trivial testen kann, welche Mailadressen gültig sind.

Weiterhin unterstützt der Exim-Server eine Option, bei der man getaggte Mailadressen nutzen kann, die aus dem Lokalpart und einem durch ein Plus-Zeichen (+) abgetrennten weiteren Part bestehen, der frei gewählt werden kann. In dem Fall kann der Angriffscode im Teil hinter dem Plus untergebracht werden. In fast allen Fällen hat ein Angreifer damit direkt vollen Zugriff auf den Server, da Exim üblicherweise mit Root-Rechten läuft.

Angriff übers Netz dauert sieben Tage

Auch in der Standardkonfiguration lässt sich die Sicherheitslücke offenbar ausnutzen. Details dazu verschweigt Qualys aber nach wie vor. Es gibt aber demnach wohl eine Möglichkeit, die Lücke trotzdem auszunutzen, wenn man die Verbindung sehr lange offen hält - das Advisory spricht von sieben Tagen - und alle paar Minuten ein Zeichen schickt. Qualys warnt zudem, dass der Code sehr komplex und es denkbar ist, dass es weitere Möglichkeiten zur Ausnutzung der Sicherheitslücke gibt.

Geschlossen wurde die Sicherheitslücke im Version 4.92, die im Februar veröffentlicht wurde. Allerdings hatte man wohl dabei zunächst nicht erkannt, dass es sich um ein Sicherheitsproblem handelt.

Qualys nennt die Sicherheitslücke "The Return of the WIZard". Dabei handelt es sich um eine Anspielung auf ähnliche Bugs in einer Sendmail-Funktion, die in den 90er Jahren entdeckt wurden.

Exim wird vor allem von Debian-Anwendern häufig genutzt, da Exim dort Nutzern als Standard-Mailserver bei der Installation empfohlen wird. Debian hat inzwischen ein Update bereitgestellt und eine Sicherheitswarnung herausgegeben. Auch für andere gängige Linux-Distributionen stehen Updates bereit. Alle Exim-Nutzer sollten diese selbstverständlich so schnell wie möglich installieren.  (hab)


Verwandte Artikel:
Exploit: Sicherheitslücke in Exim-Mailserver   
(04.06.2019, https://glm.io/141679 )
Owncloud/Nextcloud: Passwörter im Bugtracker   
(19.04.2017, https://glm.io/127346 )
Sicherheitslücke: VIM-Modelines erlauben Codeausführung   
(05.06.2019, https://glm.io/141710 )
Remote Code Execution: Die löchrige Webseite des TÜV Süd   
(05.11.2018, https://glm.io/137500 )
Linux: Wer sind die Debian-Bewerber?   
(09.04.2019, https://glm.io/140506 )

© 1997–2019 Golem.de, https://www.golem.de/