Der weit verbreitete Mailserver Exim hat eine Schwachstelle mit einen CVSS von 9.8 von 10, die sofort gefixt werden sollten. Die Zero-Day-Initiative von Trend Micro hat den Anbieter auf die Schwachstellen aufmerksam gemacht. Dort wurde reagiert und man bietet ab sofort auch ein Sicherheits-Update an. Exim registrierte bereits Zero-Day-6 Exploits.
Die Zero-Day-Initiative von Trend Micro hat eine schwerwiegende Schwachstelle mit dem CVSS-Wert 9.8 von 10 im weit verbreiteten Exim-Mailserver entdeckt. Anscheinend gibt es bereits 6 Zero-Day-Exploits die auf die Schwachstelle abzielen. Zumindest schreibt dies Exim selbst. Auf der Exim-Seite findet sich im Bereich Security eine umfassende Textdatei zu dem Problem.
Sechs 0-Day-Exploits greifen wohl schon an
- Exim selbst zählt die von den 6 Exploits gewählten Angriffspunkte in seinem Security-Hinweis auf und gibt Hinweise, bei welchen Einstellungen diese nicht attackiert werden können:
- 3 Exploits: Sie stehen im Zusammenhang mit SPA/NTLM und EXTERNAL auth. Wenn Sie nicht SPA/NTLM oder EXTERNAL authentication verwenden, sind Sie nicht betroffen. Diese Probleme sind behoben.
- Ein Problem bezieht sich auf Daten, die von einem Proxy-Protokoll-Proxy empfangen werden. Wenn Sie keinen Proxy vor Exim verwenden, sind Sie nicht betroffen. Wenn Ihr Proxy vertrauenswürdig ist, sind Sie nicht betroffen. Wir arbeiten an einem Fix.
- Wenn Sie nicht den Nachschlagetyp `spf` oder die ACL-Bedingung die ACL-Bedingung “pf” verwenden, sind Sie nicht betroffen.
- Das letzte Problem hängt mit DNS-Lookups zusammen. Wenn Sie einen vertrauenswürdigen Resolver verwenden (der die empfangenen Daten validiert), sind Sie nicht betroffen. Wir arbeiten an einer Lösung.
Exim hatte angekündigt ein Update bereit zu stellen. Dieses Sicherheitsrelease exim-4.96.1 wurde nun veröffentlicht und kann sofort installiert werden.
Schwachstelle wohl seit Juni 2022 bekannt
Laut ZDI-Protokoll wurde der Anbieter Exim bereits letztes Jahr im Juni 2022 über die Schwachstelle informiert. Allerdings ist dann wohl nichts weiter passiert. Anscheinend hat erst der Hinweis auf die Veröffentlichung der Schwachstelle zu einem entsprechendem Update geführt.
Die Zero-Day-Initiative beschreit die Exim-Schwachstelle unter der CVE-ID CVE-2023-42115 mit dem CVSS-Score 9.8 wie folgt:
“Diese Schwachstelle ermöglicht es Remote-Angreifern, beliebigen Code auf betroffenen Exim-Installationen auszuführen. Um diese Sicherheitslücke auszunutzen, ist keine Authentifizierung erforderlich.
Der spezifische Fehler besteht im SMTP-Dienst, der standardmäßig den TCP-Port 25 überwacht. Das Problem resultiert aus der mangelnden ordnungsgemäßen Validierung der vom Benutzer bereitgestellten Daten, was zu einem Schreibvorgang über das Ende eines Puffers hinaus führen kann. Ein Angreifer kann diese Schwachstelle ausnutzen, um Code im Kontext des Dienstkontos auszuführen.”
Mehr bei ZeroDayInitiative.com
Über ZDI
Die Zero-Day-Initiative (ZDI) wurde ins Leben gerufen, um die private Meldung von Zero-Day-Schwachstellen an die betroffenen Anbieter durch finanzielle Vergütung von Forschern zu fördern. Damals herrschte in der Informationssicherheitsbranche die Auffassung vor, dass diejenigen, die Schwachstellen finden, böswillige Hacker seien, die Schaden anrichten wollten. Manche denken immer noch so. Obwohl es geschickte, böswillige Angreifer gibt, stellen sie immer noch eine kleine Minderheit der Gesamtzahl der Personen dar, die tatsächlich neue Schwachstellen in der Software entdecken.