Kritische Lücke im Mailserver Exim
Der SMTP-Dienst des freien Mailservers Exim enthält eine kritische Schwachstelle, über die Angreifer beliebigen Code ausführen können. Updates sind unterwegs.
(Bild: Michael Traitov/Shutterstock.com)
Im Internet-Mailserver Exim gibt es eine riskante Sicherheitslücke, die Angreifern das Ausführen beliebigen Codes erlaubt (remote code execution, RCE). Eine Authentifizierung ist nicht erforderlich, der Schadcode zum Ausnutzen der Lücke kann in einer regulären E-Mail stecken. Das meldet die Zero-Day Initiative (ZDI). Sie führt die Lücke unter der CVE-Nummer 2023-42115 und stuft sie auf der CVSS-Schweregrad-Skala mit 9,8 (von max. 10,0) ein – also äußerst schwerwiegend.
Schwerwiegende Lücke, kein Update
Betroffen von der Lücke ist der Exim-Mailserver (mail transfer agent, MTA) und hier genauer der SMTP-Dienst, der Verbindungen für E-Mail-Zustellung auf TCP-Port 25 entgegennimmt. Die Lücke beruht auf der unzureichenden Prüfung von Nutzerdaten in einer E-Mail-Übertragung und ermöglicht das Schreiben in den Speicher über die Grenzen eines Buffers hinaus (out-of-bounds write). Dadurch ließe sich beliebiger Schadcode (oder beliebige Befehle) mit den Rechten des Dienstes auf dem Zielserver ausführen, schreibt die ZDI in ihrer Mitteilung vom Mittwoch. Auch ein Absturz des Dienstes als Folge eines Angriffsversuchs ist denkbar.
Aufhorchen lässt in der ZDI-Mitteilung das Datum der Entdeckung: Demnach wurde die Lücke nach ihrer Entdeckung (durch eine nicht genannte Person) bereits im Juni 2022 (!) an das Exim-Entwicklerteam gemeldet. Im April 2023 – also ganze 10 Monate später – erkundigte sich die ZDI nach einem Update in dieser Sache und erhielt als Antwort die Bitte, die Informationen erneut zu schicken (was die ZDI auch tat).
Die Exim-Entwickler haben die Lücken inzwischen geschlossen und stellen Patches bereit, die die Maintainer in die Distributionen übernehmen können. Wie die Entwickler schreiben, hakte es bei der Kommunikation mit der ZDI hinsichtlich der Details, die zu der Lücke verfügbar sind.
Die ZDI empfiehlt als kurzfristige Maßnahme, den Austausch über den Exim-SMTP-Dienst einzuschränken, also die Erreichbarkeit für ausliefernde Mailserver zu beschränken oder den E-Mail-Empfang sicherheitshalber abzuschalten.
Exim ist ein weitverbreiteter MTA und Open-Source-Software, bei Debian Linux ist er standardmäßig als MTA konfiguriert. Bleeping Computer verweist darauf, dass laut einer aktuellen Zählung der weltweit eingesetzten Mailserver über MX-Records im DNS Exim der beliebteste ist: Von gut 600.000 erreichbaren Mailserver im Netz laufen 56 Prozent mit Exim. Ein Überblick mit der Security-Suchmaschine Shodan ergebe außerdem derzeit 3,5 Millionen ansprechbare Exim-Installationen weltweit, ergänzt Bleeping Computer. Zuletzt wurden 2021 mehrere kritische Schwachstellen in Exim entdeckt.
(tiw)
