Mögliche Root-Lücke in Internet-Mailer Exim [Update]
Präparierte Mails können vermutlich eine Shell starten und Dateien auf dem Server anlegen sowie mit Root-Rechten starten. Einen Patch gibt es noch nicht.
- Daniel Bachfeld
Einem Posting auf der Entwickler-Mailingliste für den MTA Exim zufolge gibt es zumindest in den Debian-Paketen vermutlich eine Lücke, mit der Angreifer aus der Ferne die Kontrolle über einen Server erlangen können. Laut der ersten Untersuchungen des Admins Sergey Kononenko, in dessen Netzwerk Unbekannte über die Lücke offenbar eingedrungen sind, könnte ein Fehler bei der Verarbeitung bestimmer Header (HeaderX) in Mails die Ursache sein.
Mit präparierten Mails gelang es den Eindringlingen, eine Shell zu starten und weitere Dateien auf dem Server anzulegen. Da Exim in der Regel auf SUID Root gesetzt ist, konnten die Angreifer mit weiteren Tricks an Root-Rechte gelangen.
Kononenko betrieb allerdings nicht die offizielle Version des Exim-Dienstes, sondern die unter Debian Lenny verfügbare abgespeckte Version exim4-daemon-light 4.69-9. Zumindest das Erlangen der Root-Rechte will Kononenko auch unter Debian Squeeze mit exim4-daemon-light 4.72-2 nachvollzogen haben. Ob die eigentliche Schwachstelle dort auch vorhanden ist, hat er nicht getestet. Ob auch die Pakete anderer Distributionen betroffen sind, ist noch unklar.
Weitere Informationen zur Lücke und zum Angriff will Kononenko vorerst nicht preisgeben, bis die Entwickler das Problem untersucht haben. Allerdings hat er sich beim Finden der Mailadresse des Exim-Maintainers wohl schwergetan, weshalb er seine Informationen auf der Exim-Entwicklerliste veröffentlicht hat.
Als Workaround könnte es helfen, Exim im unprivilegierten Modus laufen zu lassen. Ein Anleitung dazu hält die offizielle Doku vor: Running Exim without privilege. Allerdings funktioniert das nicht mit allen Konfigurationen.
[Update:] Weiteren Analysen zufolge handelt es sich bei der Lücke offenbar um einen Fehler in der Funktion
string_format(), durch den sich mit präparierten Zeichenketten Daten in nicht belegten Speicher schreiben lassen. Der Fehler wurde bereits mit Exim 4.70 behoben. Weil er aber als nicht sicherheitsrelevant gekennzeichnet wurde, hat beispielsweise Debian den Fehler in den Lenny-Paketen noch nicht behoben. Debian-Anwender können zur Lösung des Problems exim4-daemon-light 4.72 aus dem Backports-Repository installieren.
(dab)
