Ranljivost v poštnem strežniku Exim @ Slo-Tech

Novice » Varnost »
Ranljivost v poštnem strežniku Exim

Ranljivost v poštnem strežniku Exim

Matej Huš :: 1. okt 2023 ob 12:34
Varnost

Slo-Tech - V vseh verzijah poštnega strežnika Exim (mail transfer agent) so odkrili varnostne luknje, ki napadalcem omogočajo oddaljeni zagon poljubne kode (remote code execution). Ranljivost je odkril anonimni varnostni raziskovalec in jo prijavil prek Trend Microvega mehanizma Zero Day Initiative. Povzroča tako nestabilno delovanje in kvarjenje podatkov kakor tudi izrabo za poganjanje nepooblaščene kode. Napaka tiči v storitvi SMTP (odhodna pošta), kjer lahko pride do prekoračitve naslovnega prostora (out-of-bounds write).

ZDI je proizvajalca o napaki obvestil že junija lani (!) in ponovno maja letos, a popravka niso izdali. ZDI je zato ta teden javno objavil podrobnosti v opozorilu CVE-2023-42115, kjer so razkrili tudi vso komunikacijo z Eximom. Tovrstni strežniki so zelo obetavne tarče, ker so običajno dostopni z interneta, zato omogočajo vdor v interne sisteme. Hkrati je Exim najpopularnejša programska oprema za MTA. V preteklosti so se ranljivosti v Eximu že izkoriščale tudi v praksi. Trenutno je na internetu 3,5 milijona ranljivih strežnikov Exim, večinoma v ZDA, Rusiji in Nemčiji.

Popravek še ni nared.

17 komentarjev

Ales :: 1. okt 2023, 14:21

Hkrati je Exim najpopularnejša programska oprema za MTA.

Res?? Je kaka solidna statistika na voljo za to?

Takole na hitro sem pogledal v iskalniku, pa je precej šrota na to temo...

MrStein :: 1. okt 2023, 14:25

Proizvajalca?
Če pa je open source (GPL) softver.

Pa kako noben ni popravil? Če pa je open source?

Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

misek :: 1. okt 2023, 14:29

MrStein je 1. okt 2023 ob 14:25 izjavil:

Pa kako noben ni popravil? Če pa je open source?

Zgleda mora nekdo imeti tudi voljo, da se popravi. Tukaj je ni bilo.

Ales :: 1. okt 2023, 14:31

MrStein je 1. okt 2023 ob 14:25 izjavil:

Proizvajalca?
Če pa je open source (GPL) softver.

Eno se z drugim ne izključuje.

Pa kako noben ni popravil? Če pa je open source?

Kaj čakaš?

MrStein :: 1. okt 2023, 14:32

Isto kot ti in ostalih 8 milijard.

Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

spremenil: MrStein (1. okt 2023 ob 14:32)

Ales :: 1. okt 2023, 14:32

No vidiš, samo da se razumemo.

Quix :: 1. okt 2023, 14:34

Hm, zanimivo, niti slišal še nisem zanj in ko sem šel primerjati s postfixom sem ugotovil, da tudi ni nobenega razloga, da bi slišal zanj.

Zdi se mi, da je njegov celoten sellings point integracija v cpanel...

MrStein :: 1. okt 2023, 14:34

Ales je 1. okt 2023 ob 14:31 izjavil:

MrStein je 1. okt 2023 ob 14:25 izjavil:
Proizvajalca?
Če pa je open source (GPL) softver.

Eno se z drugim ne izključuje.

Gre za eno osebo in skupino podpornikov.

Temu se ne reče "proizvajalec".

Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Ales :: 1. okt 2023, 14:40

V tem primeru za Eximom ne stoji formalna organizacija, ampak v veliko drugih primerih pa. Samo pravim, da se eno z drugim ne izključuje.

c3p0 :: 1. okt 2023, 17:21

Exim je precej razširjen, tudi zelo konfigurabilen, zato je popularen v raznih web panelih tipa cPanel. Za male instalacije uporabljam sicer raje postfix.

MrStein :: 1. okt 2023, 18:59

CVSS SCORE
9.8

No, to je ranljivost za novice, ne pa malenkosti z oceno pod 5,0.

Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Saul Goodman :: 1. okt 2023, 19:17

MrStein je 1. okt 2023 ob 14:25 izjavil:

Proizvajalca?
Če pa je open source (GPL) softver.

Pa kako noben ni popravil? Če pa je open source?

da ne boš preveč debiljiral brez, da bi kej pogooglal: https://www.openwall.com/lists/oss-secu....

c3p0 :: 1. okt 2023, 20:33

* 3 of them are related to SPA/NTLM, and EXTERNAL auth. If you do not use
SPA/NTLM, or EXTERNAL authentication, you're not affected.
These issues are fixed.

* One issue is related to data received from a proxy-protocol proxy. If
you do not use a proxy in front of Exim, you're not affected. If your
proxy is trustworthy, you're not affected. We're working on a fix.

* One is related to libspf2. If you do not use the `spf` lookup type
or the `spf` ACL condition, you are not affected.

* The last one is related to DNS lookups. If you use a trustworthy
resolver (which does validation of the data it receives), you're
not affected. We're working on a fix.

Ne zgleda mi kot da bi dosti konfiguracij bilo affected, naše niso.

MrStein :: 1. okt 2023, 22:55

Saul Goodman je 1. okt 2023 ob 19:17 izjavil:

MrStein je 1. okt 2023 ob 14:25 izjavil:
Proizvajalca?
Če pa je open source (GPL) softver.

Pa kako noben ni popravil? Če pa je open source?

da ne boš preveč debiljiral brez, da bi kej pogooglal: https://www.openwall.com/lists/oss-secu....

Če misliš da so popravili, potem "debiljira" avtor novice :
- "popravka niso izdali"
- "Popravek še ni nared"

Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein :: 1. okt 2023, 23:02

Tule sicer piše, da tri luknje se niso zakrpane: https://www.exim.org/static/doc/securit...

Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Ales :: 1. okt 2023, 23:46

Tukaj se je v veliki meri tresla gora in rodila miš. 5 od 6 teh hroščev je bolj tako tako, mejni primeri z zelo, zelo malo prizadetimi Exim strežniki, če sploh katerim.

Tale bi bila malo podrobneje za pogledat:

* One is related to libspf2. If you do not use the `spf` lookup type or
the `spf` ACL condition, you are not affected.

...če je kdo admin kakega cPanel strežnika

ali pa pač Exima v kaki drugi obliki.

No, odvisno na katerem koraku se sploh dela kaj s SPF zapisi, oz. katera koda je zadolžena za to. Možno, da je tudi to bolj teoretično.

zugl :: 3. okt 2023, 08:35

Quix je 1. okt 2023 ob 14:34 izjavil:

Hm, zanimivo, niti slišal še nisem zanj in ko sem šel primerjati s postfixom sem ugotovil, da tudi ni nobenega razloga, da bi slišal zanj.

Zdi se mi, da je njegov celoten sellings point integracija v cpanel...

Med drugim je privzeti poštni strežnik na Debianu.

Ales je 1. okt 2023 ob 23:46 izjavil:

Tukaj se je v veliki meri tresla gora in rodila miš. 5 od 6 teh hroščev je bolj tako tako, mejni primeri z zelo, zelo malo prizadetimi Exim strežniki, če sploh katerim.

Tale bi bila malo podrobneje za pogledat:

* One is related to libspf2. If you do not use the `spf` lookup type or
the `spf` ACL condition, you are not affected.

...če je kdo admin kakega cPanel strežnika ali pa pač Exima v kaki drugi obliki.

No, odvisno na katerem koraku se sploh dela kaj s SPF zapisi, oz. katera koda je zadolžena za to. Možno, da je tudi to bolj teoretično.

Exima nisem nikdar uporabljal, ampak po mojem mnenju je še kar fino, pravilno in pričakovano, da SMTPd-ji preverjajo SPF zapise oddaljenih domen.

Zgodovina sprememb…

spremenilo: zugl (3. okt 2023 ob 08:36)

Vredno ogleda ...

	Tema	Sporočila	Ogledi	Zadnje sporočilo
	Tema	Sporočila	Ogledi	Zadnje sporočilo
»	Ranljivost v poštnem strežniku Exim McHusch Oddelek: Novice / Varnost	17	3295 (1931)	zugl 3. okt 2023 08:35:23
»	Odkritih 13 kritičnih ranljivosti AMD Ryzen in EPYC procesorjev (strani: 1 2 3 ) martincic7 Oddelek: Novice / Procesorji	108	33358 (26687)	rdecaluc 28. maj 2018 18:55:12
»	Kaj vemo o napadih Spectre in Meltdown na procesorje (strani: 1 2 ) McHusch Oddelek: Novice / Varnost	91	33674 (28169)	D3m 18. jan 2018 18:31:16
»	Poštni strežnik in nedosegljivost bluefish Oddelek: Omrežja in internet	42	5786 (5102)	jype 27. sep 2016 00:57:01
»	Linux/Apache kot vektor napada... denial Oddelek: Informacijska varnost	27	2162 (1552)	Atos 1. feb 2008 18:30:17

Več podobnih tem

Zadnje novice

Zadnji članki

Išči:

Novice » Varnost »
Ranljivost v poštnem strežniku Exim

Ranljivost v poštnem strežniku Exim