Lücke in Spamassassin-Milter wird ausgenutzt

[Christoph]

Zitat:

Eine Sicherheitslücke im Milter-Plugin für den Spam-Filter Spamassassin wird derzeit für Angriffe ausgenutzt. Die Angreifer versuchen damit sich Root-Zugriff auf die Mail-Server zu verschaffen. Ein Patch für Milter liegt bereit.

Es gibt eine bekannte Sicherheitslücke in Spamassassin-Milter (0.3.1 und älter), einem Zusatzmodul für die Sendmail Milter (Mail Filter) Schnittstelle. Es ermöglicht eingehende Mails durch den Open Source Spam-Filter Spamassassin zu leiten. Die Schwachstelle wird mit speziell präparierten Mails ausgenutzt. Exploit-Code ist öffentlich verfügbar.

Der bereit vor einem Jahr veröffentlichte Exploit demonstriert einen Angriff via Postfix, der die Ausführung von Befehlen über die anfällige Funktion popen() ermöglicht. Wird Milter mit der Option -x (expand flag) als Benutzer "root" betrieben kann mittels popen() ein beliebiger Befehl mit Root-Berechtigung aus der Ferne ausgeführt werden. Dazu können etwa präparierte Mail-Header dienen.

Die Schwachstelle ist bereits seit einem Jahr bekannt, doch offenbar gibt es noch genügend Mail-Server, auf denen eine anfällige Milter-Version (vor 0.3.1-8) installiert ist. Entsprechende Port-Scans prüfen anscheinend, ob Milter mit der Option -x sowie Root-Rechten läuft und ziehen Angriffe mit präparierten Mails nach sich. Diese enthalten in Zeilen wie "X-Original-To:" oder "Delivered-To:" spezielle Aufrufe, die mit "root+:|exec" beginnen.

Es ist daher zu empfehlen die Konfiguration der eigenen Mail-Server zu prüfen und gegebenenfalls zu ändern sowie das Milter-Plugin zu aktualisieren. Für Linux-Distributionen wie Debian gibt es passende Patches.

Quelle: http://www.magnus.de/news/luecke-in-...t-1100534.html