Bu yaxınlarda, yayın əvvəlində CVE-4.92-2019 zəifliyinə görə Exim-in 10149 versiyasına yenilənməsinə dair geniş çağırışlar oldu (). Və bu yaxınlarda məlum oldu ki, Sustes zərərli proqram təminatı bu zəiflikdən istifadə etmək qərarına gəlib.
İndi təcili olaraq yenilənənlərin hamısı yenidən "sevinə" bilər: 21 iyul 2019-cu ildə tədqiqatçı Zerons kritik zəiflik aşkar etdi. TLS istifadə edərkən Exim Mail Transfer agent (MTA). versiyaları üçün 4.80 4.92.1 To daxil olmaqla, uzaqdan idarə etməyə imkan verir imtiyazlı hüquqlarla kodu icra edin ().
Zəiflik
Təhlükəsiz TLS bağlantısı qurarkən həm GnuTLS, həm də OpenSSL kitabxanalarından istifadə edərkən zəiflik mövcuddur.
Tərtibatçı Heiko Schlittermanın sözlərinə görə, Exim-dəki konfiqurasiya faylı standart olaraq TLS-dən istifadə etmir, lakin bir çox paylamalar quraşdırma zamanı lazımi sertifikatları yaradır və təhlükəsiz əlaqəni təmin edir. Exim-in daha yeni versiyaları da seçimi quraşdırır tls_advertise_hosts=* və lazımi sertifikatları yaradın.
konfiqurasiyadan asılıdır. Əksər distroslar onu defolt olaraq aktivləşdirir, lakin Exim TLS serveri kimi işləmək üçün sertifikat+açar tələb edir. Yəqin ki, Distros quraşdırma zamanı Sertifikat yaradır. Daha yeni Exim-lərdə tls_advertise_hosts variantı defolt olaraq "*" olaraq təyin olunur və heç biri təmin edilmədikdə, özünü imzalayan sertifikat yaradır.
Zəifliyin özü SNI-nin (Server Name Indication, 2003-cü ildə RFC 3546-da müştərinin domen adı üçün düzgün sertifikat tələb etməsi üçün təqdim edilmiş texnologiyası) düzgün işlənməməsindədir. ) TLS əl sıxma zamanı. Təcavüzkar sadəcə olaraq əks kəsik ("") və sıfır simvolu ("") ilə bitən SNI göndərməlidir.
Qualys-dən olan tədqiqatçılar string_printing(tls_in.sni) funksiyasında səhv aşkar ediblər ki, bu da “” hərfinin səhv qaçışını ehtiva edir. Nəticə olaraq, tərs kəsik xətti çap makarasının başlıq faylına keçidsiz yazılır. Bu fayl daha sonra yığın daşmasına səbəb olan spool_read_header() funksiyası tərəfindən imtiyazlı hüquqlarla oxunur.
Qeyd etmək lazımdır ki, hazırda Exim tərtibatçıları uzaq zəif serverdə əmrlərin icrası ilə zəifliklərin PoC-ni yaradıblar, lakin o, hələ ki, ictimaiyyət üçün açıq deyil. Səhvdən istifadənin asanlığı səbəbindən bu, sadəcə vaxt məsələsidir və olduqca qısadır.
Qualys tərəfindən daha ətraflı araşdırma tapıla bilər .
TLS-də SNI-dən istifadə
Potensial olaraq həssas ictimai serverlərin sayı
Böyük bir hosting provayderinin statistikasına görə E-Soft Inc 1 sentyabr tarixindən etibarən icarəyə götürülmüş serverlərdə 4.92 versiyası hostların 70%-dən çoxunda istifadə olunur.
Versiya
Serverlərin sayı
Faiz
4.92.1
6471
1.28%
4.92
376436
74.22%
4.91
58179
11.47%
4.9
5732
1.13%
4.89
10700
2.11%
4.87
14177
2.80%
4.84
9937
1.96%
Digər versiyalar
25568
5.04%
E-Soft Inc şirkət statistikası
Axtarış motorundan istifadə edirsinizsə , sonra server verilənlər bazasındakı 5,250,000-dan:
- təxminən 3,500,000-i Exim 4.92-dən istifadə edir (təxminən 1,380,000 SSL/TLS istifadə edir);
- 74,000 istifadə edərək 4.92.1 25,000-dən çox (SSL/TLS istifadə edərək təxminən XNUMX XNUMX).
Beləliklə, ictimaiyyət tərəfindən tanınan və əldə edilə bilən Exim potensial olaraq həssas serverlərin sayı haqqında 1.5M.
Shodanda Exim serverlərini axtarın
müdafiə
- Ən sadə, lakin tövsiyə edilməyən seçim TLS-dən istifadə etməməkdir ki, bu da e-poçt mesajlarının aydın şəkildə yönləndirilməsi ilə nəticələnəcək.
- Zəiflikdən istifadə etməmək üçün versiyaya yeniləmək daha məqsədəuyğun olardı .
- Yamaqlanmış versiyanı yeniləmək və ya quraşdırmaq mümkün deyilsə, seçim üçün Exim konfiqurasiyasında ACL təyin edə bilərsiniz. acl_smtp_mail aşağıdakı qaydalarla:
# to be prepended to your mail acl (the ACL referenced # by the acl_smtp_mail main config option) deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_sni}}}} deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_peerdn}}}}
Mənbə: www.habr.com