Gefährliche Sicherheitslücke in Exim gefährdet Hunderttausende Mailserver

Der weit verbreitete Mailserver Exim ist verwundbar. Lokal sollen Angreifer die Sicherheitslücke (CVE-2019-10149) trivial ausnutzen können, um Kontrolle über Mailserver zu bekommen. Es sind aber auch Attacken über das Internet möglich.

In einem Beitrag warnen Sicherheitsforscher von Qualys, dass alle Versionen ab 4.87 angreifbar sind. Eventuell könnten ihnen zufolge auch vorige Ausgaben betroffen sein. Admins sollten die abgesicherte Version 4.92 zügig installieren. Diese erschien bereits im Februar 2019 – zu diesem Zeitpunkt war aber noch unklar, dass die Entwickler die Schwachstelle in dieser Ausgabe geschlossen haben.

Einer aktuellen Auswertung zufolge kommt Exim auf fast 60 Prozent aller öffentlich erreichbaren Mailserver zum Einsatz. Die Lücke ist mit dem CVSS v3.0 Score 9.8 von 10 versehen und gilt somit als "kritisch".

Triviale Attacken

In der Default-Konfiguration sollen lokale Angreifer die Lücke mit vergleichsweise wenig Aufwand ausnutzen können. Angriffe aus der Ferne seien aufwendiger. Dafür müssten Angreifer Qualys zufolge für sieben Tage eine Verbindung zu einem verwundbaren Exim-Server halten und alle paar Minuten ein Byte übermitteln. Mit abweichenden Konfigurationen oder alternativen Herangehensweisen könnten Attacken über das Internet aber auch simpler ausfallen.

Klappt eine Attacke, sollen Angreifer eigene Kommandos mit Root-Rechten auf Mailservern ausführen können. Dadurch soll eine komplette Übernahme möglich sein. Weitere Details zu der Sicherheitslücke beschreiben die Sicherheitsforscher in ihrem Beitrag.

Qualys hat die Lücke "Return of the WIZard" getauft, da sie an Schwachstellen aus den 90er Jahren im Sendmail-Mailserver in den Kommandos WIZ und DEBUG erinnert.

[UPDATE, 06.06.2019 13:20 Uhr]

Bedrohnugsgrad der Lücke im Fließtext ergänzt. (des)