SmarterMail

Die Schwachstelle betrifft die Mailserver-Software SmarterMail von SmarterTools. Sie ermöglicht es einem Angreifer, Dateien auf den Server hochzuladen, ohne dass deren Typ ausreichend beschränkt wird – also auch gefährliche, ausführbare Dateien. Der Angriff lässt sich aus der Ferne und ohne vorherige Anmeldung durchführen: Es sind keine gültigen Zugangsdaten erforderlich. Besonders kritisch ist, dass der Angreifer die hochgeladenen Dateien an einem beliebigen Ort im Dateisystem des Mailservers ablegen kann. Dadurch lässt sich der Defekt über das reine Einschleusen von Dateien hinaus ausnutzen und kann zur Ausführung von beliebigem Schadcode auf dem Server führen. Gelingt dies, erlangt der Angreifer die Kontrolle über den Mailserver. Betroffen sind Betreiber, die SmarterMail einsetzen; da Mailserver oft direkt aus dem Internet erreichbar sind, ist die Angriffsfläche entsprechend exponiert.