Kritische Sicherheitslücken im Exim E-Mail-Server - Patches verfügbar
5. Mai 2021
Beschreibung
Die Firma Qualys hat 21 Schwachstellen in Exim, einem verbreiteten E-Mail-Server, gefunden. Davon sind zehn über das Netzwerk ausnutzbar und bei vier davon gelang es den ResearcherInnen, beliebigen Code auf dem Server auszuführen (Remote Code Execution, "RCE"). In drei Fällen geschah dies ohne Authentifizierung unter dem Account exim ("Unauthenticated RCE"), in einem Fall mit Authentifizierung als root ("Authenticated RCE").
Zu den elf lokalen Schwachstellen legte Qualys vier Proof of Concepts (PoCs) für eine Privilegieneskalation zu root vor. Dementsprechend könnte die Kombination einer Unauthenticated RCE mit einer lokalen Privilegieneskalation insgesamt zu einer Unauthenticated RCE als root führen, was eine vollständige Übernahme des Systems ermöglicht.
Nach Qualys' Einschätzung ist die Entwicklung funktionierender Exploits mit den Angaben in Ihrem Advisory problemlos möglich, weshalb davon auszugehen ist, dass diese Schwachstellen bald aktiv ausgenutzt werden.
Lokal ausnutzbare Schwachstellen:
- CVE-2020-28007: Manipulation beliebiger Dateien durch Erstellung von Sym-/Hardlinks in Exims log-Directory. Für diese Schwachstelle hat Qualys einen PoC veröffentlicht.
- CVE-2020-28008: Mehrere Angriffe auf Exims spool-Directory. Für diese Schwachstelle hat Qualys einen PoC veröffentlicht.
- CVE-2020-28014: Erstellen und Überschreiben beliebiger Dateien.
- CVE-2021-27216: Löschen beliebiger Dateien.
- CVE-2020-28011: Heap buffer overflow in
queue_run(). - CVE-2020-28010: Heap out-of-bounds write in
main(). - CVE-2020-28013: Heap buffer overflow in
parse_fix_phrase(). - CVE-2020-28016: Heap out-of-bounds write in
parse_fix_phrase(). - CVE-2020-28015: Einfügen eines Zeilenumbruchs in das spool Header-File (lokal). Für diese Schwachstelle hat Qualys einen PoC veröffentlicht.
- CVE-2020-28012: Fehlen der
close-on-execFlag bei einer privilegierten Pipe. Für diese Schwachstelle hat Qualys einen PoC veröffentlicht. - CVE-2020-28009: Integer overflow in
get_stdinput().
Über das Netzwerk ausnutzbare Schwachstellen:
- CVE-2020-28017: Integer overflow in
receive_add_recipient(). Für diese Schwachstelle hat Qualys einen PoC veröffentlicht. - CVE-2020-28020: Integer overflow in
receive_msg(). Für diese Schwachstelle hat Qualys einen PoC veröffentlicht. - CVE-2020-28023: Out-of-bounds read in
smtp_setup_msg(). - CVE-2020-28021: Einfügen eines Zeilenumbruchs in das spool Header-File (über das Netzwerk). Für diese Schwachstelle hat Qualys einen PoC veröffentlicht.
- CVE-2020-28022: Heap out-of-bounds read und write in
extract_option(). - CVE-2020-28026: Line truncation and injection in
spool_read_header(). - CVE-2020-28019: Fehlendes Zurücksetzen eines Funktions-Pointers nach einem Fehler des
BDATBefehls. - CVE-2020-28024: Heap buffer underflow in
smtp_ungetc(). - CVE-2020-28018: Use-after-free in
tls-openssl.c. Für diese Schwachstelle hat Qualys einen PoC veröffentlicht. - CVE-2020-28025: Heap out-of-bounds read in
pdkim_finish_bodyhash().
Auswirkungen
AngreiferInnen können die Exim-Installation über das Netzwerk vollständig übernehmen.
Betroffene Systeme
Laut Qualys betreffen die meisten Schwachstellen sämtliche Versionen von Exim seit Beginn von dessen Git-History im Jahr 2004. Lediglich bei zwei Schwachstellen gibt Qualys eine Einschränkung an: CVE-2020-28020 betrifft nur Versionen < 4.92 und CVE-2020-28018 nur Versionen ab 4.90 bis exklusive 4.94.
Abhilfe
Einspielen der zur Vergügung gestellten Patches. Da mit funktionierenden Exploits in kurzer Zeit zu rechnen ist, sollte dies so schnell wie möglich geschehen.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
Advisory von Qualys
https://www.qualys.com/2021/05/04/21nails/21nails.txt
Hinweis auf die verfügbaren Patches auf der Exim Announce Mailingliste
https://lists.exim.org/lurker/message/20210504.134007.ce022df3.en.html