Schwerwiegende Sicherheitsprobleme in Mailserver-Software Exim - Workaround verfügbar

27. November 2017

Beschreibung

Das Exim-Projekt hat am 25. 11. 2017 Informationen zu einer schwerwiegenden Sicherheitslücke veröffentlicht.

Details

Durch Ausnutzen eines Use-after-free Fehlers können Angreifer potentiell beliebigen Code auf betroffenen Mailservern ausführen.

CVE-Nummern dazu: CVE-2017-16943, CVE-2017-16944

Auswirkungen

Ein Angreifer hat potentiell vollen Zugriff auf ein betroffenes System, daher sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Öffentlich erreichbare Mailserver, auf denen die Mailserver-Software (MTA) Exim in folgenden Versionen installiert und die CHUNKING-Option aktiv ist:

• 4.88
• 4.89

Ob die CHUNKING-Option aktiv ist kann geprüft werden, indem in den Capabilities (nach Senden eines entsprechenden EHLO Kommandos) auf Ausgabe des "CHUNKING"-Keywords gesucht wird.

Abhilfe

Bis zum Erscheinen kompletter fehlerbereinigter Versionen kann das Problem mittels Deaktivieren der "CHUNKING"-Option (siehe RFC 1830) durch Setzen des folgenden Parameters in der Konfiguration umgangen werden:

chunking_advertise_hosts = 

Dh. die rechte Seite der Option wird auf einen leeren Wert gesetzt.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.

---

Informationsquelle(n):

Meldung auf exim-announce (englisch)
https://lists.exim.org/lurker/message/20171125.034842.d1d75cac.en.html
Artikel dazu bei The Register (englisch)
https://www.theregister.co.uk/2017/11/26/exim_rce_vulnerability/
RFC 1830 (englisch)
https://tools.ietf.org/html/rfc1830