Kritische Lücke in Exim-Verschlüsselung - sofort patchen
Exim-Mail-Server weisen eine Sicherheitslücke auf, über die sich Angreifer von außen Root-Rechte auf dem System verschaffen können. Ein Update schafft Abhilfe.
Die Exim-Entwickler haben ein Sicherheits-Update veröffentlicht, das eine kritische Lücke im Mail-Server schließt. Die Lücke lässt sich übers Netz ausnutzen und betrifft alle Installationen bis Exim 4.92.1, die Verschlüsselung via TLS anbieten. Das Ausnutzen der Lücke ist vergleichsweise einfach; das Update sollte deshalb schnellst möglich installiert werden.
Der Fehler lässt sich über einen speziell präparierten Server Name Indicator (SNI) ausnutzen, erklären die Entwickler in ihrem Advisory zu CVE-2019-15846. Betroffen sind sowohl die TLS-Bibliothek GnuTLS als auch OpenSSL. Als Workaround könnte man TLS abschalten, wovon die Exim-Entwickler jedoch selbst abraten. Alternativ kann man mit Mail-ACLs einem Angriff vorbeugen, wobei jedoch nicht klar ist, ob das wirklich als Schutz ausreicht. Deshalb ist es unbedingt empfehlenswert, schnellstmöglich auf die neue Version 4.92.2 zu aktualisieren.
Exploit noch nicht öffentlich
Ein Sicherheitsforscher names Zerons hatte den Fehler bereits im Juli bei den Exim-Entwicklern gemeldet. Die Sicherheitsfirma Qualys hat ihn daraufhin analysiert und einen einfachen Demo-Exploit entwickelt, der die Lücke ausnutzt, um einen neuen Benutzer die /etc/passwd einzutragen.
Auch wenn der Demo-Exploit nicht veröffentlicht wurde, dürfte es nicht lange dauern, bis öffentlich verfügbare Exploits existieren. Exim ist einer der am weitesten verbreiteten Mail-Server und kommt bevorzugt auf Linux-Systemen zum Einsatz. Shodan verzeichnet über 5 Millionen Server; in Deutschland sind es immerhin 175.000.
Siehe dazu auch:
(ju)