Der Mail-Server Exim nutzt den IMAP-Server Dovecot für die lokale Zustellung von Mails. Aktuell gibt es Angriffe auf Systeme » die diese Kombination verwenden « ebenso wie das Internet Storm Center berichtet.
Das ist möglich, wenn in der Exim-Konfiguration für lokale Mail-Zustellung der Parameter use_shell gesetzt ist wie eine Zeit lang unter anderem im Dovecot-Wiki vorgeschlagen wurde. Konkret beobachtete ein Leser Mails die mit einem speziell präparierten Return-Path eingeliefert wurden:
Return-Path:
Der lädt ein kleines Perl-Skript nach, dass dann unter anderem einen einfachen IRC-Server startet. Wer also die Open-Source-Kombination aus Exim und Dovecot einsetzt, tut gut daran, seine Config-Files noch einmal zu checken.
Update 16:15 29․7.: Die eingeschleusten Perl-Skripte sind übrigens immer noch vom Server x.cc.st abrufbar der laut whois in einem Rechenzentrum in Berlin beheimatet ist. Dessen Betreiber Strato wurde darauf bereits gestern über seine abuse-Mail-Adresse hingewiesen.
Update 17:00 29․7.:Strato hat den Server jetzt still gelegt.
Kommentare