root-Exploit für EXIM wird aktiv ausgenutzt

Nachdem Anfang Dezember 2010 eine Sicherheitslücke im Mailer EXIM bekannt wurde, haben wir nun auf Kundenrechnern auch tatsächlich gehackte Exim-Server feststellen können. -Diese Lücke wird also aktiv ausgenutzt.

Der root-Hack scheint dabei nicht ganz spurlos an Exim vorüberzugehen und zeigt anscheinend recht typische Symptome. So wurde auf den betroffenen Rechnern häufig Exim beschädigt, so daß es zu folgenden Meldungen im Logfile kommt:

2010-12-19 10:40:24 no IP address found for host MAIN_RELAY_NETS (during SMTP
connection from xxxxxxxx (xxxxxxxxx) [127.0.0.1])

Der Fehlermeldung auf den tatsächlichen Grund zu gehen, ist relativ sinnlos. Es liegt kein behebbarer Fehler, sondern eine Auswirkung des Hacks vor (prinzipiell kann die Fehlermeldung natürlich auch andere Ursachen haben, ist in der aktuellen Situation aber eher unwahrscheinlich).

Betroffene Rechner sind kompromittiert und können nicht mehr als vertrauenswürdig gelten. Es bleibt nur der Weg zur Neuinstallation. Selbstverständlich ist das Team von Heinlein Support bei dieser Gelegenheit auch gerne dabei behilflich, den Mailer auf den MTA „Postfix“ umtzustellen… :-)

Postfix hatte nach Aussage von Programmautor Wietse Venema auf der 4. Mailserver-Konferenz in all seinen Jahren noch nie einen root-Exploit, es hätte lediglich einmal eine Angriffsmöglichkeit durch die openssl-Bibliothek gegeben, die damals sämtliche Programme betraf, die gegen openssl verlinkt waren.

Dieser Beitrag wurde unter Blog, Mailserver, Security veröffentlicht. Setze ein Lesezeichen auf den Permalink.