Zwei Pufferüberlaufschwachstellen in Exim 4 können, in Kombination, von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit administrativen Privilegien auf dem beherbergenden System auszuführen. Zur erfolgreichen Ausnutzung ist lediglich das Senden entsprechend präparierter Daten per SMTP an ein betroffenes System erforderlich. Da Mailserver meist bestimmungsgemäß SMTP-Verkehr aus dem Internet empfangen, ist die Schwachstelle als sehr gefährlich einzustufen und es wird dringenst empfohlen, die bereitgestellten Patches bzw. Updates zu installieren. Die Schwachstellen werden bereits aktiv ausgenutzt.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Plattform
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Workaround
• Gegenmaßnahmen
• Vulnerability ID
• Exploit Status

Zusammenfassung

• CVE-2010-4344:
  

  Betroffen:	Exim 4.69-9 und früher
  Nicht betroffen:	Exim 4.70
  Plattform:	Unixoid
  Einfallstor:	SMTP (Port 25/tcp)
  Angriffsvoraussetzung:	Netzwerk
  Angriffsvektorklasse:	romote
  Auswirkung:	user compromise (exim-Benutzer)
  Typ:	Speicherverletzung
  Gefahrenpotential:	hoch bis sehr hoch (insbesondre in Kombination mit CVE-2010-4345)
  Workaround:	nein
  Gegenmaßnahmen:	Update auf Exim 4.70
  Vulnerability ID:	CVE-2010-4344
  Exploit Status:	aktive Ausnutzung

• CVE-2010-4345:
  

  Betroffen:	Exim 4, vermutlich alle Versionen
  Nicht betroffen:	keine
  Plattform:	Unixoid
  Einfallstor:	Exim Konfigurationsdatei
  Angriffsvoraussetzung:	Berechtigungsnachweis
  Angriffsvektorklasse:	local
  Auswirkung:	system compromise
  Typ:	Speicherverletzung
  Gefahrenpotential:	hoch (sehr hoch in Kombination mit CVE-2010-4344)
  Workaround:	ja
  Gegenmaßnahmen:	nein
  Vulnerability ID:	CVE-2010-4345
  Exploit Status:	aktive Ausnutzung

Betroffene Systeme

• CVE-2010-4344:
  Exim 4.69-9 und frühere Versionen
• CVE-2010-4345:
  Exim4, alle Versionen

Nicht betroffene Systeme

• CVE-2010-4344:
  Exim 4.70
• CVE-2010-4345:
  keine

Plattform

• CVE-2010-4344:
  Unixoide Betriebssysteme;
  Exim ist das Standard-Mailsystem z.B. in Debian
• CVE-2010-4345:
  Unixoide Betriebssysteme;
  Exim ist das Standard-Mailsystem z.B. in Debian

Einfallstor

• CVE-2010-4344:
  Speziell präparierte Daten, die vermittels des Simple Mail Transfer Protocols (SMTP) an ein betroffenes System geschickt werden. Standardmäßig kann ein Mailsystem auf Port 25/tcp erreicht werden.
• CVE-2010-4345:
  Manipulation einer Exim 4- Konfigurationsdatei

Angriffsvoraussetzung

• CVE-2010-4344:
  Zugriff auf ein Netzwerk, über das Daten an den SMTP-Port eines betroffenen Systems (üblicherweise Port 25/tcp) geschickt werden können
  (network)
• CVE-2010-4345:
  Zugriff auf ein Benutzerkonto auf einem betroffenen System (Berechtigungsnachweis)
  (user credentials)

Angriffsvektorklasse

• CVE-2010-4344:
  über eine Netzwerkverbindung
  (remote)
• CVE-2010-4345:
  lokal auf einem betroffenen System
  (local)

Auswirkung

• CVE-2010-4344:
  Ausführung beliebigen Programmcodes mit den Privilegien des Exim-Prozesses
  (user compromise)
• CVE-2010-4345:
  
Ausführung beliebigen Programmcodes mit administrativen Privilegien
(system compromise)

Typ der Verwundbarkeit

• CVE-2010-4344:
  Speicherverletzung
  (memory corruption)
• CVE-2010-4345:
  Speicherverletzung
  (memory corruption)

Gefahrenpotential

• CVE-2010-4344:
  hoch
• CVE-2010-4345:
  hoch

• sehr hoch

Beschreibung

• CVE-2010-4344:
  Eine Pufferüberlaufschwachstelle in der freien Mailserversoftware Exim der o.g. Versionen kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Exim-Prozesses ausgeführt.

  Um die Schwachstelle erfolgreich ausnutzen zu können, ist es lediglich erforderlich, dass der Angreifer in der Lage ist, speziell präparierte SMTP-Daten an ein Betroffenes System zu senden. Da Mailserver naturgemäß meist ohne wesentliche Beschränkungen aus dem Internet für SMTP-Verkehr erreichbar sind, sind die durch den Angreifer zu erfüllenden Angriffsvoraussetzungen minimal.

  Es stehen Patches bzw. Updates zur Behebung der Schwachstelle bereit.

• CVE-2010-4345:
  Eine Pufferüberlaufschwachstelle in Routinen zur Auswertung von Konfigurationsdateien der freien Mailserversoftware Exim der o.g. Versionen kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit administrativen Privilegien ausgeführt. Aus diesem Grund führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

  Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer Zugriff auf ein nicht-privilegiertes Benutzerkonto auf dem beherbergenden System besitzt.

Workaround

• CVE-2010-4344:
  Es sind keine Workarounds verfügbar.
• CVE-2010-4345:
  Anwendung einer Konfigurationsänderung

Gegenmaßnahmen

• CVE-2010-4344:
  
• Installation von Exim 4.70 oder später
• Installation eines aktualisierten Paketes, die durch die verschiedenen Linux-Distributoren bereitgestellt werden

• CVE-2010-4345:
  
  • Installation eines aktualisierten Paketes, die durch die verschiedenen Linux-Distributoren bereitgestellt werden, sobald verfügbar

Vulnerability ID

• CVE-2010-4344
• CVE-2010-4345

Exploit Status

• CVE-2010-4344:
  Die Schwachstelle wird aktiv ausgenutzt.
• CVE-2010-4345:
  Die Schwachstelle wird aktiv ausgenutzt.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/