ፕሮሆስተር > ጦማር > አስተዳደር > Patched Exim - እንደገና ጠጋኝ. ትኩስ የርቀት ትዕዛዝ አፈፃፀም በኤግዚም 4.92 በአንድ ጥያቄ

Patched Exim - እንደገና ጠጋኝ. ትኩስ የርቀት ትዕዛዝ አፈፃፀም በኤግዚም 4.92 በአንድ ጥያቄ

Patched Exim - እንደገና ጠጋኝ. ትኩስ የርቀት ትዕዛዝ አፈፃፀም በኤግዚም 4.92 በአንድ ጥያቄ

በቅርቡ፣ በበጋ መጀመሪያ ላይ፣ በCVE-4.92-2019 ተጋላጭነት (ኤግዚም) ወደ ስሪት 10149 እንዲዘመን ሰፊ ጥሪዎች ነበሩ።ኤግዚምን በአስቸኳይ ወደ 4.92 አዘምን - ንቁ የሆነ ኢንፌክሽን አለ / ሱዶ ኑል የአይቲ ዜና). እና በቅርብ ጊዜ የሱስተስ ማልዌር ይህንን ተጋላጭነት ለመጠቀም ወሰነ።

አሁን በአስቸኳይ ያዘመኑ ሁሉ እንደገና “መደሰት” ይችላሉ፡ እ.ኤ.አ. ጁላይ 21፣ 2019 ተመራማሪው ዜሮንስ በ ውስጥ ወሳኝ ተጋላጭነትን አግኝተዋል ኤግዚም የመልእክት ማስተላለፊያ ወኪል (ኤምቲኤ) TLS ሲጠቀሙ ለ ስሪቶች ከ ከ 4.80 ወደ 4.92.1 አካታች፣ የርቀት መቆጣጠሪያን መፍቀድ ልዩ መብቶችን በመጠቀም ኮድን ያስፈጽሙ (CVE-2019-15846).

ተጋላጭነት

ደህንነቱ የተጠበቀ የTLS ግንኙነት ሲፈጥሩ ሁለቱንም GnuTLS እና OpenSSL ቤተ-መጻሕፍት ሲጠቀሙ ተጋላጭነቱ አለ።

እንደ ገንቢው Heiko Schlittermann በኤግዚም ውስጥ ያለው የውቅር ፋይል በነባሪነት TLSን አይጠቀምም ነገር ግን ብዙ ስርጭቶች በሚጫኑበት ጊዜ አስፈላጊውን የምስክር ወረቀቶች ይፈጥራሉ እና ደህንነቱ የተጠበቀ ግንኙነትን ያነቃሉ። እንዲሁም አዳዲስ የኤግዚም ስሪቶች አማራጩን ይጫኑ tls_ማስታወቂያ_አስተናጋጆች=* እና አስፈላጊውን የምስክር ወረቀቶች ያመነጫሉ.

እንደ አወቃቀሩ ይወሰናል. አብዛኛዎቹ ዲስትሮዎች በነባሪነት ያንቁትታል፣ነገር ግን Exim እንደ TLS አገልጋይ ለመስራት የምስክር ወረቀት+ቁልፍ ያስፈልገዋል። ምናልባት Distros በማዋቀር ጊዜ ሰርተፍኬት ይፈጥራል። አዲስ ኤግዚሞች tls_advertise_hosts አማራጭ በነባሪ ወደ "*" አላቸው እና ምንም ካልቀረበ በራስ የተፈረመ የምስክር ወረቀት ይፍጠሩ።

ተጋላጭነቱ ራሱ የኤስኤንአይ (የአገልጋይ ስም አመላካች) በ2003 በ RFC 3546 የተዋወቀው ቴክኖሎጂ ለደንበኛው ትክክለኛውን የጎራ ስም ሰርተፍኬት በመጠየቅ ላይ ነው። የTLS SNI ደረጃ / WEBO ቡድን ብሎግ / Sudo Null IT ዜና ስርጭት) በቲኤልኤስ እጅ መጨባበጥ ወቅት። አጥቂ የኤስኤንአይ መጨረሻን ከኋላ ቀርፋፋ ("") እና ባዶ ቁምፊ ("") መላክ ብቻ ይፈልጋል።

የኳሊስ ተመራማሪዎች በ string_printing(tls_in.sni) ተግባር ላይ ስህተት ደርሰውበታል፣ ይህም ከ""""""ን የተሳሳተ ማምለጥን ያካትታል። በውጤቱም፣ የኋለኛው ግርዶሽ ወደ ህትመት ስፑል ራስጌ ፋይል ሳይገለበጥ ተጽፏል። ይህ ፋይል ከተፈቀዱ መብቶች ጋር በ spool_read_header() ተግባር ይነበባል፣ ይህም ወደ ክምር ፍሰት ይመራል።

በአሁኑ ጊዜ የኤግዚም ገንቢዎች በርቀት ተጋላጭ አገልጋይ ላይ ትዕዛዞችን በመተግበር የተጋላጭነት ችግርን ፈጥረዋል ፣ ግን እስካሁን በይፋ አልተገኘም። በትልች መጠቀሚያ ቀላልነት ምክንያት, የጊዜ ጉዳይ ብቻ ነው, እና በጣም አጭር ነው.

በ Qualys የበለጠ ዝርዝር ጥናት ሊገኝ ይችላል እዚህ.

Patched Exim - እንደገና ጠጋኝ. ትኩስ የርቀት ትዕዛዝ አፈፃፀም በኤግዚም 4.92 በአንድ ጥያቄ

በTLS ውስጥ SNI መጠቀም

ተጋላጭ ሊሆኑ የሚችሉ የህዝብ አገልጋዮች ብዛት

ከአንድ ትልቅ ማስተናገጃ አቅራቢ በተገኘ መረጃ መሰረት ኢ-ሶፍት ኢንክ ከሴፕቴምበር 1 ጀምሮ፣ በተከራዩ አገልጋዮች ላይ፣ ስሪት 4.92 ከ70% በላይ በሆኑ አስተናጋጆች ውስጥ ጥቅም ላይ ይውላል።

ትርጉም
የአገልጋዮች ብዛት
መቶኛ

4.92.1
6471
1.28%

4.92
376436
74.22%

4.91
58179
11.47%

4.9
5732
1.13%

4.89
10700
2.11%

4.87
14177
2.80%

4.84
9937
1.96%

ሌሎች ስሪቶች
25568
5.04%

ኢ-Soft Inc ኩባንያ ስታቲስቲክስ

የፍለጋ ሞተር የሚጠቀሙ ከሆነ Shadanከዚያም ከ5,250,000 በአገልጋይ ዳታቤዝ ውስጥ፡-

  • ወደ 3,500,000 የሚጠጉ ኤግዚም 4.92 ይጠቀማሉ (ወደ 1,380,000 SSL/TLS በመጠቀም)።
  • ከ74,000 በላይ 4.92.1 በመጠቀም (25,000 ገደማ SSL/TLS በመጠቀም)።

ስለዚህ በይፋ የሚታወቁ እና ተደራሽ የሆኑ ኤግዚም ሊሆኑ የሚችሉ ተጋላጭ አገልጋዮች ቁጥር 1.5M.

Patched Exim - እንደገና ጠጋኝ. ትኩስ የርቀት ትዕዛዝ አፈፃፀም በኤግዚም 4.92 በአንድ ጥያቄ

በሾዳን ውስጥ የኤግዚም አገልጋዮችን ይፈልጉ

መከላከል

  • በጣም ቀላሉ፣ ግን የማይመከር፣ አማራጭ TLSን አለመጠቀም ነው፣ ይህም የኢሜይል መልእክቶችን በግልፅ እንዲተላለፉ ያደርጋል።
  • የተጋላጭነት ብዝበዛን ለማስቀረት ወደ ስሪቱ ማዘመን የበለጠ ተመራጭ ይሆናል። ኤግዚም ኢንተርኔት ፖስታ 4.92.2.
  • የተለጠፈ ስሪት ለማዘመን ወይም ለመጫን የማይቻል ከሆነ ለአማራጭ በኤግዚም ውቅር ውስጥ ACL ማዘጋጀት ይችላሉ። acl_smtp_mail ከሚከተሉት ደንቦች ጋር: 
    # to be prepended to your mail acl (the ACL referenced
# by the acl_smtp_mail main config option)
deny    condition = ${if eq{}{${substr{-1}{1}{$tls_in_sni}}}}
deny    condition = ${if eq{}{${substr{-1}{1}{$tls_in_peerdn}}}}

ምንጭ: hab.com

አስተያየት ያክሉ