Sicherheitslücke in Barracuda ESG
In der Barracuda E-Mail Security Gateway Appliance (ESG) ist eine Sicherheitslücke geschlossen worden, die unter Umständen unbefugten Zugriff auf die E-Mail-Gateway-Appliances ermöglicht hat. Barracuda hat auf die Zero-Day-Lücke mit zwei Patches reagiert.
Ein Sicherheitspatch zur Beseitigung der Schwachstelle sei inzwischen auf ESG-Appliances weltweit angewendet worden, teilt Barracuda mit. Die Schwachstelle steckte in einem Modul, das die Anhänge von eingehenden E-Mails überprüft. Dabei versäumt es das Modul, .tar-Dateien vollständig zu validieren. Die Namen der im Archiv enthaltenen Dateien nutzt die Software dann in Skripten. Ein entfernter Angreifer könne diese Dateinamen auf eine bestimmte Art und Weise formatieren, die dazu führt, dass ein Systembefehl über den qx-Operator von Perl aus der Ferne mit den Rechten des E-Mail Security Gateway Produkts ausgeführt wird. Keine anderen Barracuda-Produkte, einschließlich unserer SaaS-E-Mail-Sicherheitsdienste, waren von dieser Schwachstelle betroffen.
Am 21. Mai 2023 habe man einen zweiten Patch nachgereicht. Benutzer, deren Appliances nach Meinung von Barracuda betroffen waren, seien über die ESG-Benutzeroberfläche über die zu ergreifenden Maßnahmen informiert worden.
Die Untersuchung von Barracuda beschränkte sich auf das ESG-Produkt und nicht auf die spezifische Umgebung des Kunden, teilt der Anbieter mit. Betroffene Kunden sollten daher ihre Umgebungen überprüfen.
Das Barracuda E-Mail Security Gateway verwendet eine Kombination aus firmeneigener und Open-Source-Software. Das Betriebssystem des Barracuda E-Mail Security Gateway basiert auf einem optimierten, stabilen Linux-Kernel, teilt das Unternehmen mit.
Der Beitrag Sicherheitslücke in Barracuda ESG erschien zuerst auf Linux-Magazin.