በቅርቡ፣ በበጋ መጀመሪያ ላይ፣ በCVE-4.92-2019 ተጋላጭነት (ኤግዚም) ወደ ስሪት 10149 እንዲዘመን ሰፊ ጥሪዎች ነበሩ።
አሁን በአስቸኳይ ያዘመኑ ሁሉ እንደገና “መደሰት” ይችላሉ፡ እ.ኤ.አ. ጁላይ 21፣ 2019 ተመራማሪው ዜሮንስ በ ውስጥ ወሳኝ ተጋላጭነትን አግኝተዋል ኤግዚም የመልእክት ማስተላለፊያ ወኪል (ኤምቲኤ) TLS ሲጠቀሙ ለ ስሪቶች ከ ከ 4.80 ወደ 4.92.1 አካታች፣ የርቀት መቆጣጠሪያን መፍቀድ ልዩ መብቶችን በመጠቀም ኮድን ያስፈጽሙ (
ተጋላጭነት
ደህንነቱ የተጠበቀ የTLS ግንኙነት ሲፈጥሩ ሁለቱንም GnuTLS እና OpenSSL ቤተ-መጻሕፍት ሲጠቀሙ ተጋላጭነቱ አለ።
እንደ ገንቢው Heiko Schlittermann በኤግዚም ውስጥ ያለው የውቅር ፋይል በነባሪነት TLSን አይጠቀምም ነገር ግን ብዙ ስርጭቶች በሚጫኑበት ጊዜ አስፈላጊውን የምስክር ወረቀቶች ይፈጥራሉ እና ደህንነቱ የተጠበቀ ግንኙነትን ያነቃሉ። እንዲሁም አዳዲስ የኤግዚም ስሪቶች አማራጩን ይጫኑ tls_ማስታወቂያ_አስተናጋጆች=* እና አስፈላጊውን የምስክር ወረቀቶች ያመነጫሉ.
እንደ አወቃቀሩ ይወሰናል. አብዛኛዎቹ ዲስትሮዎች በነባሪነት ያንቁትታል፣ነገር ግን Exim እንደ TLS አገልጋይ ለመስራት የምስክር ወረቀት+ቁልፍ ያስፈልገዋል። ምናልባት Distros በማዋቀር ጊዜ ሰርተፍኬት ይፈጥራል። አዲስ ኤግዚሞች tls_advertise_hosts አማራጭ በነባሪ ወደ "*" አላቸው እና ምንም ካልቀረበ በራስ የተፈረመ የምስክር ወረቀት ይፍጠሩ።
ተጋላጭነቱ ራሱ የኤስኤንአይ (የአገልጋይ ስም አመላካች) በ2003 በ RFC 3546 የተዋወቀው ቴክኖሎጂ ለደንበኛው ትክክለኛውን የጎራ ስም ሰርተፍኬት በመጠየቅ ላይ ነው።
የኳሊስ ተመራማሪዎች በ string_printing(tls_in.sni) ተግባር ላይ ስህተት ደርሰውበታል፣ ይህም ከ""""""ን የተሳሳተ ማምለጥን ያካትታል። በውጤቱም፣ የኋለኛው ግርዶሽ ወደ ህትመት ስፑል ራስጌ ፋይል ሳይገለበጥ ተጽፏል። ይህ ፋይል ከተፈቀዱ መብቶች ጋር በ spool_read_header() ተግባር ይነበባል፣ ይህም ወደ ክምር ፍሰት ይመራል።
በአሁኑ ጊዜ የኤግዚም ገንቢዎች በርቀት ተጋላጭ አገልጋይ ላይ ትዕዛዞችን በመተግበር የተጋላጭነት ችግርን ፈጥረዋል ፣ ግን እስካሁን በይፋ አልተገኘም። በትልች መጠቀሚያ ቀላልነት ምክንያት, የጊዜ ጉዳይ ብቻ ነው, እና በጣም አጭር ነው.
በ Qualys የበለጠ ዝርዝር ጥናት ሊገኝ ይችላል
በTLS ውስጥ SNI መጠቀም
ተጋላጭ ሊሆኑ የሚችሉ የህዝብ አገልጋዮች ብዛት
ከአንድ ትልቅ ማስተናገጃ አቅራቢ በተገኘ መረጃ መሰረት ኢ-ሶፍት ኢንክ ከሴፕቴምበር 1 ጀምሮ፣ በተከራዩ አገልጋዮች ላይ፣ ስሪት 4.92 ከ70% በላይ በሆኑ አስተናጋጆች ውስጥ ጥቅም ላይ ይውላል።
ትርጉም
የአገልጋዮች ብዛት
መቶኛ
4.92.1
6471
1.28%
4.92
376436
74.22%
4.91
58179
11.47%
4.9
5732
1.13%
4.89
10700
2.11%
4.87
14177
2.80%
4.84
9937
1.96%
ሌሎች ስሪቶች
25568
5.04%
ኢ-Soft Inc ኩባንያ ስታቲስቲክስ
የፍለጋ ሞተር የሚጠቀሙ ከሆነ
- ወደ 3,500,000 የሚጠጉ ኤግዚም 4.92 ይጠቀማሉ (ወደ 1,380,000 SSL/TLS በመጠቀም)።
- ከ74,000 በላይ 4.92.1 በመጠቀም (25,000 ገደማ SSL/TLS በመጠቀም)።
ስለዚህ በይፋ የሚታወቁ እና ተደራሽ የሆኑ ኤግዚም ሊሆኑ የሚችሉ ተጋላጭ አገልጋዮች ቁጥር 1.5M.
በሾዳን ውስጥ የኤግዚም አገልጋዮችን ይፈልጉ
መከላከል
- በጣም ቀላሉ፣ ግን የማይመከር፣ አማራጭ TLSን አለመጠቀም ነው፣ ይህም የኢሜይል መልእክቶችን በግልፅ እንዲተላለፉ ያደርጋል።
- የተጋላጭነት ብዝበዛን ለማስቀረት ወደ ስሪቱ ማዘመን የበለጠ ተመራጭ ይሆናል።
ኤግዚም ኢንተርኔት ፖስታ 4.92.2 . - የተለጠፈ ስሪት ለማዘመን ወይም ለመጫን የማይቻል ከሆነ ለአማራጭ በኤግዚም ውቅር ውስጥ ACL ማዘጋጀት ይችላሉ። acl_smtp_mail ከሚከተሉት ደንቦች ጋር:
# to be prepended to your mail acl (the ACL referenced # by the acl_smtp_mail main config option) deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_sni}}}} deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_peerdn}}}}
ምንጭ: hab.com