Exim: Umgehung des Attachment-Filters ermöglicht Schadcodeanhänge

Im Mailsystem Exim klafft eine schwerwiegende Sicherheitslücke. Der Anhangfilter lässt sich umgehen, sodass Angreifer potenziell schädliche Dateianhänge in Mail-Postfächer schmuggeln können.

Bei der Verarbeitung von mehrzeiligen Header-Dateinamen nach RFC 2231 kann Exim bis einschließlich 4.97.1 patzen, wodurch Angreifer einen $mime_filename Erweiterungs-blockierenden Schutzmechanismus umgehen könnten. In der Folge könnten sie möglicherweise ausführbare Anhänge in die Mailboxen von Nutzerinnen und Nutzern liefern, lautet die Beschreibung des CVE-Eintrags (CVE-2024-39929).

Risikoeinschätzung variiert

Red Hat schätzt den Schweregrad der Lücke als hoch ein und ergänzt, dass zum Ausführen solcher Anhänge noch eine Nutzerinteraktion nötig sei. Die Exim-Entwickler haben sie als ernsthafte Sicherheitslücke eingestuft. Das CERT-Bund vom BSI kommt auf einen CVSS-Wert von 9.1 und kategorisiert die Lücke damit als kritisch.

Eine Fehlerkorrektur ist in den Release Candidate 3 von Exim 4.98 eingezogen. Wer Exim einsetzt, sollte den Mailer gegebenenfalls auf diese oder eine neuere Version aktualisieren.

Lesen Sie auch

Kritische Lücke im Mailserver Exim

Im vergangenen September hatte der Mailserver Exim zuletzt eine als kritisch eingestufte Sicherheitslücke, die Angreifern das Einschleusen und Ausführen von Schadcode ermöglichte (2023-42115, CVSS 9.8, kritisch). Dort legten sie ebenfalls aktualisierte Software vor, die die Lücke geschlossen hat.

E-Mail-Sicherheit sollte selbstverständlich auch Mitarbeiter-Schulungen einbeziehen. Trotz serverseitiger Filter können bösartige Dateianhänge bei Endnutzern landen. Diese sollten daher den sicheren Umgang damit kennen. Aber auch serverseitige Maßnahmen helfen natürlich, etwa, indem Mails von nicht befugten Mailservern (oder eben Botnet-Drohnen) gar nicht erst von Mailservern akzeptiert werden. Das BSI gibt in einer Technischen Richtlinie Hinweise zur E-Mail-Authentifizierung etwa mittels SPF, DKIM und DMARC.

(dmk)