RUS CERT IT Sicherheit

Deutschsprachige IT Sicherheitsmeldungen des RUS CERT (Computer Emergency Response Team des Rechenzentrums der Universität Stuttgart).

Security News Artikel #1657

Zurück zur Übersicht

Meldung Nr: RUS-CERT-1657

[Unixoid/Exim] Gravierende Schwachstellen im Mailerdaemon Exim
(2010-12-12 16:43:15.529504+00)

Quelle: http://bugs.exim.org/show_bug.cgi?id=787

Zwei Pufferüberlaufschwachstellen in Exim 4 können, in Kombination, von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit administrativen Privilegien auf dem beherbergenden System auszuführen. Zur erfolgreichen Ausnutzung ist lediglich das Senden entsprechend präparierter Daten per SMTP an ein betroffenes System erforderlich. Da Mailserver meist bestimmungsgemäß SMTP-Verkehr aus dem Internet empfangen, ist die Schwachstelle als sehr gefährlich einzustufen und es wird dringenst empfohlen, die bereitgestellten Patches bzw. Updates zu installieren. Die Schwachstellen werden bereits aktiv ausgenutzt.

Inhalt

Zusammenfassung

  • CVE-2010-4344:
    Betroffen: Exim 4.69-9 und früher
    Nicht betroffen: Exim 4.70
    Plattform: Unixoid
    Einfallstor: SMTP (Port 25/tcp)
    Angriffsvoraussetzung:Netzwerk
    Angriffsvektorklasse: romote
    Auswirkung: user compromise (exim-Benutzer)
    Typ: Speicherverletzung
    Gefahrenpotential: hoch bis sehr hoch (insbesondre in Kombination mit CVE-2010-4345)
    Workaround: nein
    Gegenmaßnahmen: Update auf Exim 4.70
    Vulnerability ID: CVE-2010-4344
    Exploit Status: aktive Ausnutzung
  • CVE-2010-4345:
    Betroffen: Exim 4, vermutlich alle Versionen
    Nicht betroffen: keine
    Plattform: Unixoid
    Einfallstor: Exim Konfigurationsdatei
    Angriffsvoraussetzung:Berechtigungsnachweis
    Angriffsvektorklasse: local
    Auswirkung: system compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch (sehr hoch in Kombination mit CVE-2010-4344)
    Workaround: ja
    Gegenmaßnahmen: nein
    Vulnerability ID: CVE-2010-4345
    Exploit Status: aktive Ausnutzung

Betroffene Systeme

  • CVE-2010-4344:
    Exim 4.69-9 und frühere Versionen
  • CVE-2010-4345:
    Exim4, alle Versionen

Nicht betroffene Systeme

  • CVE-2010-4344:
    Exim 4.70
  • CVE-2010-4345:
    keine

Plattform

  • CVE-2010-4344:
    Unixoide Betriebssysteme;
    Exim ist das Standard-Mailsystem z.B. in Debian
  • CVE-2010-4345:
    Unixoide Betriebssysteme;
    Exim ist das Standard-Mailsystem z.B. in Debian

Einfallstor

  • CVE-2010-4344:
    Speziell präparierte Daten, die vermittels des Simple Mail Transfer Protocols (SMTP) an ein betroffenes System geschickt werden. Standardmäßig kann ein Mailsystem auf Port 25/tcp erreicht werden.
  • CVE-2010-4345:
    Manipulation einer Exim 4- Konfigurationsdatei

Angriffsvoraussetzung

  • CVE-2010-4344:
    Zugriff auf ein Netzwerk, über das Daten an den SMTP-Port eines betroffenen Systems (üblicherweise Port 25/tcp) geschickt werden können
    (network)
  • CVE-2010-4345:
    Zugriff auf ein Benutzerkonto auf einem betroffenen System (Berechtigungsnachweis)
    (user credentials)

Angriffsvektorklasse

  • CVE-2010-4344:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2010-4345:
    lokal auf einem betroffenen System
    (local)

Auswirkung

  • CVE-2010-4344:
    Ausführung beliebigen Programmcodes mit den Privilegien des Exim-Prozesses
    (user compromise)
  • CVE-2010-4345:
  • Ausführung beliebigen Programmcodes mit administrativen Privilegien
    (system compromise)

Typ der Verwundbarkeit

  • CVE-2010-4344:
    Speicherverletzung
    (memory corruption)
  • CVE-2010-4345:
    Speicherverletzung
    (memory corruption)

Gefahrenpotential

  • CVE-2010-4344:
    hoch
  • CVE-2010-4345:
    hoch
Da beide Schwachstellen leicht in Kombination ausgenutzt werden können, entsteht ein als
  • sehr hoch
einzuschätzendes Gefahrenpotential.
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  • CVE-2010-4344:
    Eine Pufferüberlaufschwachstelle in der freien Mailserversoftware Exim der o.g. Versionen kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Exim-Prozesses ausgeführt.

    Um die Schwachstelle erfolgreich ausnutzen zu können, ist es lediglich erforderlich, dass der Angreifer in der Lage ist, speziell präparierte SMTP-Daten an ein Betroffenes System zu senden. Da Mailserver naturgemäß meist ohne wesentliche Beschränkungen aus dem Internet für SMTP-Verkehr erreichbar sind, sind die durch den Angreifer zu erfüllenden Angriffsvoraussetzungen minimal.

    Es stehen Patches bzw. Updates zur Behebung der Schwachstelle bereit.

  • CVE-2010-4345:
    Eine Pufferüberlaufschwachstelle in Routinen zur Auswertung von Konfigurationsdateien der freien Mailserversoftware Exim der o.g. Versionen kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit administrativen Privilegien ausgeführt. Aus diesem Grund führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

    Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer Zugriff auf ein nicht-privilegiertes Benutzerkonto auf dem beherbergenden System besitzt.

Sofern ein Angreifer beide Schwachstellen nacheinander erfolgreich ausnutzt, kann er betroffenes System mit minimalen Voraussetzungen vollständig kompromittieren. Solcherlei Angriffe finden bereits statt, weshalb die Installation entsprechender Patches dringend empfohlen wird, sobald diese verfügbar sind.

Workaround

Sofern auf dem beherbergenden System keine nicht-vertrauenswürdigen Benutzerkonten vorhanden sind, bannt die Beseitigung der Schwachstelle CVE-2010-4344 die unmittelbare Gefahr eines erfolgreichen Angriffs aus dem Netz.

Gegenmaßnahmen

  • CVE-2010-4344:
    • Installation von Exim 4.70 oder später
    • Installation eines aktualisierten Paketes, die durch die verschiedenen Linux-Distributoren bereitgestellt werden
  • CVE-2010-4345:
    • Installation eines aktualisierten Paketes, die durch die verschiedenen Linux-Distributoren bereitgestellt werden, sobald verfügbar

Vulnerability ID

Exploit Status

  • CVE-2010-4344:
    Die Schwachstelle wird aktiv ausgenutzt.
  • CVE-2010-4345:
    Die Schwachstelle wird aktiv ausgenutzt.
(sb)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/


http://cert.uni-stuttgart.de/ticker/article.php?mid=1657
 

Scannen Sie den Barcode um die Webseite zu öffnen


Quelle: http://www.trinler.net/de/news/it/cert/1657
Gedruckt am: 30.03.2017 18:31 GMT+0200 (2017-03-30T18:31:13+02:00)