Die Entwickler von Exim haben ein Update veröffentlicht um eine kritische Sicherheitslücke im Mail-Server zu schließen. Betroffen sind alle Installationen bis zur Version 4․92․1 welche TLS-Verschlüsselung anbieten. Die Schwachstelle kann über das Netzwerk ausgenutzt werden und erfordert keine besonderen Kenntnisse. Es ist dringend empfohlen; das Update schnellstmöglich zu installieren.
Der Fehler lässt sich über einen speziell präparierten Server Name Indicator (SNI) ausnutzen, erklären die Entwickler in ihrem Advisory zu CVE-2019-15846. Betroffen sind sowie die TLS-Bibliothek GnuTLS als ebenfalls OpenSSL. Als Workaround könnte man TLS abschalten, wovon die Exim-Entwickler jedoch selbst abraten. Alternativ kann man mit Mail-ACLs einem Angriff vorbeugen obwohl dabei jedoch nicht klar ist ob das wirklich als Schutz ausreicht. Deshalb ist es unbedingt empfehlenswert, schnellstmöglich auf die neue Version 4․92․2 zu aktualisieren.
Exploit noch nicht öffentlich
Ein Sicherheitsforscher names Zerons hatte den Fehler bereits im Juli bei den Exim-Entwicklern gemeldet. Die Sicherheitsfirma Qualys hat ihn daraufhin analysiert und einen einfachen Demo-Exploit entwickelt der die Lücke ausnutzt um einen neuen Benutzer die /etc/passwd einzutragen.
Auch wenn der Demo-Exploit nicht veröffentlicht wurde dürfte es nicht lange dauern bis öffentlich verfügbare Exploits existieren. Exim ist einer der am weitesten verbreiteten Mail-Server und kommt bevorzugt auf Linux-Systemen zum Einsatz. Shodan verzeichnet über 5 Millionen Server; in Deutschland sind es immerhin 175․000.
Siehe dazu auch:
- Exim CVE-2019-15846 bei Debian
- Ubuntu USN-4124-1: Exim vulnerability
- Fedora - tbd
Kommentare