Angreife verschaffen sich von außen Root-Rechte im System. Ein Update schafft Abhilfe
Exim-Entwickler haben ein Sicherheits-Update veröffentlicht, welches eine kritische Lücke im Mail-Server schließt. Die Lücke lässt sich über das Internet ausnutzen und betrifft alle Installationen bis Exim 4.92.1 die Verschlüsselung via TLS anbieten. Das Update sollte schnellst möglich installiert werden.
Der Fehler lässt sich über einen speziell präparierten Server Name Indicator (SNI) ausnutzen, erklären die Entwickler in ihrem Advisory zu CVE-2019-15846. Betroffen sind sowohl die TLS-Bibliothek GnuTLS als auch OpenSSL. Als Workaround kann TLS abschaltet werden, wovon die Exim-Entwickler jedoch abraten. Alternativ kann man mit Mail-ACLs einem Angriff vorbeugen, wobei jedoch nicht klar ist, ob das wirklich als Schutz ausreicht. Deshalb ist es unbedingt empfehlenswert, schnellstmöglich auf die neue Version 4.92.2 zu aktualisieren.
Exploit noch nicht öffentlich
Ein Sicherheitsforscher names Zerons hatte den Fehler bereits im Juli bei den Exim-Entwicklern gemeldet. Die Sicherheitsfirma Qualys hat ihn daraufhin analysiert und einen einfachen Demo-Exploit entwickelt, der die Lücke ausnutzt, um einen neuen Benutzer in die passwd-Datei einzutragen.
Der Demo-Exploit wurde noch nicht veröffentlicht, es dürfte aber nicht lange dauern, bis öffentlich verfügbare Exploits existieren. Exim ist einer der am weitesten verbreiteten Mail-Server und kommt bevorzugt auf Linux-Systemen zum Einsatz. Der Webdienst Shodan verzeichnet über 5 Millionen Server weltweit, davon befinden sich immerhin 175.000 Server in Deutschland.