Kritische Sicherheitslücke in OpenSMTPD erlaubt(e) Codeausführung aus der Ferne

Einige Versionen des Mail Transfer Agents OpenSMTPD weisen eine kritische Sicherheitslücke auf. Angreifer könnten sie unter bestimmten Voraussetzungen missbrauchen, um mit Root-Rechten beliebige Shell-Befehle auf BSD- oder Linux-Servern auszuführen, auf denen eine verwundbare Version zum Einsatz kommt. Angriffe sind sowohl lokal als auch aus der Ferne möglich.

Das OpenSMTPD-Entwickler-Team hat die Lücke bestätigt und rät Admins zum schnellstmöglichen Update. Das Bugfix-Release 6.6.2p1 ist bei GitHub sowie direkt auf opensmtpd.com verfügbar. OpenBSD-Systeme können direkt mit dem syspatch-Befehl ($ doas syspatch) aktualisiert werden.

CVE-2020-7247: Proof-of-Concept-Code veröffentlicht

Das Team der Firma Qualys, das die Lücke mit der CVE-Nummer CVE-2020-7247 entdeckt hat, hat ein Security Advisory inklusive Proof-of-Concept-Code veröffentlicht. Ihm ist zu entnehmen, dass die Lücke seit Mai 2018 (genauer: seit dem Commit a8e222352f, "switch smtpd to new grammar") ausnutzbar ist.

Seinen PoC-Code hat Qualys erfolgreich gegen OpenBSD 6.6 und die Testing-Version von Debian 11 (Bullseye) laufen lassen. Laut Advisory können aber auch weitere BSD-/Linux-Distributionen und -Versionen verwundbar sein. Umso wichtiger ist es, Systeme möglichst zeitnah gegen die Bedrohung abzusichern.

Update 29.01.20, 18:15: Ein bemerkenswertes Detail ist, dass sich das Qualys-Team laut Advisory beim Schreiben seines PoC-Codes von der Verbreitungstechnik des Morris-Wurms inspirieren ließ. Jenem ersten Internet-Wurm also, der am 2. November 1988 (!) innerhalb weniger Stunden circa 6000 Server infizierte, was damals immerhin etwa 10 Prozent des gesamten Internet ausmachte. (ovw)