Alert!

Sicherheitsupdate: Kritische Schadcode-Lücke bedroht OpenSMTPD-E-Mail-Server

Viele Unix-Systeme und Linux-Distributionen mit OpenSMTPD sind über eine gefährliche Sicherheitslücke angreifbar. Ein Sicherheitspatch ist verfügbar.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 12 Beiträge

(Bild: AFANASEV IVAN/Shutterstock.com)

Von

Der E-Mail-Server OpenSMTPD ist verwundbar. Ist eine Attacke erfolgreich, könnten Angreifer im schlimmsten Fall Schadcode mit Root-Rechte ausführen. Eine abgesicherte Version ist verfügbar.

Um Systeme vor der als "kritisch" eingestuften Sicherheitslücke (CVE-2020-8794) zu schützen, sollten Admins zügig die aktuelle Ausgabe 6.6.4p1 herunterladen und installieren. Weitere Infos dazu findet man in einer Mitteilung des OpenSMTPD-Teams. OpenSMTPD-E-Mail-Server sollen in der Standardeinstellung angreifbar sein. Die Software kommt auf Unix-Systemen und verschiedenen Linux-Distributionen zum Einsatz.

Entdeckt haben die Schwachstelle Sicherheitsforscher von Qualys. In einem Beitrag schreiben sie, dass Angreifer die Lücke aus der Ferne ausnutzen können, um einen Speicherfehler zu provozieren (out-of-bounds). Kommt eine OpenSMTPD-Version nach Mai 2018 zum Einsatz, kann das erfolgreiche Ausnutzen der Lücke dazu führen, dass Angreifer eigenen Code mit Root-Rechten ausführen könnten. Bei Ausgaben, die vor Mai 2018 veröffentlicht wurden, ist die Code-Ausführung mit "non-Root"-Rechten möglich.

Angriffe sollen sich von Client- und Server-Seite einleiten lassen. Weitere Details dazu findet man in der Meldung zur Lücke. Den Sicherheitsforschern zufolge existiert der Fehler bereits seit Dezember 2015. (des)