Alert!

Kritische Sicherheitslücke in OpenSMTPD erlaubt(e) Codeausführung aus der Ferne

BSD- und Linux-Server, auf denen OpenSMTPD läuft, brauchen umgehend ein Update auf Version 6.6.2p1. Es fixt eine kritische Remote-Code-Execution-Lücke.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 33 Beiträge

(Bild: Shutterstock / Jasni )

Von

Einige Versionen des Mail Transfer Agents OpenSMTPD weisen eine kritische Sicherheitslücke auf. Angreifer könnten sie unter bestimmten Voraussetzungen missbrauchen, um mit Root-Rechten beliebige Shell-Befehle auf BSD- oder Linux-Servern auszuführen, auf denen eine verwundbare Version zum Einsatz kommt. Angriffe sind sowohl lokal als auch aus der Ferne möglich.

Das OpenSMTPD-Entwickler-Team hat die Lücke bestätigt und rät Admins zum schnellstmöglichen Update. Das Bugfix-Release 6.6.2p1 ist bei GitHub sowie direkt auf opensmtpd.com verfügbar. OpenBSD-Systeme können direkt mit dem syspatch-Befehl ($ doas syspatch) aktualisiert werden.

Das Team der Firma Qualys, das die Lücke mit der CVE-Nummer CVE-2020-7247 entdeckt hat, hat ein Security Advisory inklusive Proof-of-Concept-Code veröffentlicht. Ihm ist zu entnehmen, dass die Lücke seit Mai 2018 (genauer: seit dem Commit a8e222352f, "switch smtpd to new grammar") ausnutzbar ist.

Seinen PoC-Code hat Qualys erfolgreich gegen OpenBSD 6.6 und die Testing-Version von Debian 11 (Bullseye) laufen lassen. Laut Advisory können aber auch weitere BSD-/Linux-Distributionen und -Versionen verwundbar sein. Umso wichtiger ist es, Systeme möglichst zeitnah gegen die Bedrohung abzusichern.

Update 29.01.20, 18:15: Ein bemerkenswertes Detail ist, dass sich das Qualys-Team laut Advisory beim Schreiben seines PoC-Codes von der Verbreitungstechnik des Morris-Wurms inspirieren ließ. Jenem ersten Internet-Wurm also, der am 2. November 1988 (!) innerhalb weniger Stunden circa 6000 Server infizierte, was damals immerhin etwa 10 Prozent des gesamten Internet ausmachte. (ovw)