ProHoster > Π‘Π»ΠΎΠ³ > Pagdumala > Patched Exim - patch pag-usab. Lab-as nga Remote Command Execution sa Exim 4.92 sa usa ka hangyo

Patched Exim - patch pag-usab. Lab-as nga Remote Command Execution sa Exim 4.92 sa usa ka hangyo

Patched Exim - patch pag-usab. Lab-as nga Remote Command Execution sa Exim 4.92 sa usa ka hangyo

Bag-ohay lang, sa sayong bahin sa ting-init, adunay kaylap nga mga tawag alang sa Exim nga ma-update sa bersyon 4.92 tungod sa pagkahuyang sa CVE-2019-10149 (Pag-update dayon sa Exim sa 4.92 - adunay usa ka aktibo nga impeksyon / Sudo Null IT News). Ug bag-o lang nahimo nga ang Sustes malware nakahukom nga pahimuslan kini nga pagkahuyang.

Karon ang tanan nga dali nga nag-update mahimo nga "magmaya" pag-usab: kaniadtong Hulyo 21, 2019, ang tigdukiduki nga si Zerons nakadiskubre sa usa ka kritikal nga kahuyang sa Exim Mail Transfer agent (MTA) kung mogamit ug TLS alang sa mga bersyon gikan sa 4.80 sa 4.92.1 inklusibo, nagtugot sa hilit ipatuman ang code nga adunay pribilihiyo nga mga katungod (CVE-2019-15846).

Kaluyahon

Anaa ang pagkahuyang kung gamiton ang GnuTLS ug OpenSSL nga mga librarya kung maghimo usa ka luwas nga koneksyon sa TLS.

Sumala sa developer nga si Heiko Schlittermann, ang configuration file sa Exim wala mogamit sa TLS pinaagi sa default, apan daghang mga distribusyon ang naghimo sa gikinahanglan nga mga sertipiko sa panahon sa pag-instalar ug makahimo sa usa ka luwas nga koneksyon. Usab ang mas bag-ong mga bersyon sa Exim i-install ang kapilian tls_advertise_hosts=* ug paghimo sa gikinahanglan nga mga sertipiko.

depende sa configuration. Kadaghanan sa mga distro makahimo niini pinaagi sa default, apan ang Exim nanginahanglan usa ka sertipiko + yawe aron molihok ingon usa ka server sa TLS. Tingali ang mga Distro naghimo usa ka Sert sa panahon sa pag-setup. Ang mga bag-ong Exim adunay tls_advertise_hosts nga opsyon nga nag-default sa "*" ug maghimo ug self signed certificate, kung walay gihatag.

Ang kahuyang mismo anaa sa sayop nga pagproseso sa SNI (Server Name Indication, usa ka teknolohiya nga gipaila niadtong 2003 sa RFC 3546 alang sa usa ka kliyente nga mohangyo sa saktong sertipiko alang sa usa ka domain name, Pag-apod-apod sa TLS SNI standard / WEBO Group Blog / Sudo Null IT News) atol sa TLS handshake. Ang tig-atake kinahanglan lang magpadala ug SNI nga nagtapos sa backslash ("") ug null character (" ").

Ang mga tigdukiduki gikan sa Qualys nakadiskobre og bug sa string_printing(tls_in.sni) function, nga naglakip sa sayop nga pag-eskapo sa "". Ingon nga resulta, ang backslash gisulat nga wala makaikyas sa print spool header file. Kini nga payl unya basahon uban sa pribilihiyo nga mga katungod sa spool_read_header() function, nga mosangpot ngadto sa heap overflow.

Angay nga matikdan nga sa pagkakaron, ang mga developers sa Exim nakamugna og PoC sa mga kahuyangan uban ang pagpatuman sa mga sugo sa usa ka hilit nga mahuyang nga server, apan dili pa kini magamit sa publiko. Tungod sa kasayon ​​sa pagpahimulos sa bug, kini usa lamang ka butang sa panahon, ug medyo mubo.

Makita ang mas detalyado nga pagtuon ni Qualys dinhi.

Patched Exim - patch pag-usab. Lab-as nga Remote Command Execution sa Exim 4.92 sa usa ka hangyo

Paggamit sa SNI sa TLS

Gidaghanon sa posibleng huyang nga mga pampublikong server

Sumala sa estadistika gikan sa usa ka dako nga hosting provider Ang E-Soft Inc sukad sa Septiyembre 1, sa giabangan nga mga server, ang bersyon 4.92 gigamit sa labaw pa sa 70% sa mga host.

Version
Gidaghanon sa mga Server
Porsyento

4.92.1
6471
1.28%

4.92
376436
74.22%

4.91
58179
11.47%

4.9
5732
1.13%

4.89
10700
2.11%

4.87
14177
2.80%

4.84
9937
1.96%

Uban pang mga bersyon
25568
5.04%

E-Soft Inc nga estadistika sa kompanya

Kung mogamit ka ug search engine Shodan, unya gikan sa 5,250,000 sa database sa server:

  • mga 3,500,000 ang naggamit sa Exim 4.92 (mga 1,380,000 nga naggamit sa SSL/TLS);
  • labaw sa 74,000 gamit ang 4.92.1 (mga 25,000 gamit ang SSL/TLS).

Sa ingon, nahibal-an sa publiko ug ma-access ang Exim nga posible nga mahuyang nga mga server nga numero bahin sa 1.5M.

Patched Exim - patch pag-usab. Lab-as nga Remote Command Execution sa Exim 4.92 sa usa ka hangyo

Pangitaa ang mga server sa Exim sa Shodan

sa pagpanalipod sa

  • Ang pinakasimple, apan dili girekomenda, nga kapilian mao ang dili paggamit sa TLS, nga moresulta sa mga mensahe sa email nga ipasa sa klaro.
  • Aron malikayan ang pagpahimulos sa pagkahuyang, mas maayo nga i-update ang bersyon Exim Internet Mailer 4.92.2.
  • Kung dili posible nga i-update o i-install ang usa ka patched nga bersyon, mahimo nimong itakda ang ACL sa Exim configuration alang sa kapilian. acl_smtp_mail uban sa mosunod nga mga lagda: 
    # to be prepended to your mail acl (the ACL referenced
# by the acl_smtp_mail main config option)
deny    condition = ${if eq{}{${substr{-1}{1}{$tls_in_sni}}}}
deny    condition = ${if eq{}{${substr{-1}{1}{$tls_in_peerdn}}}}

Source: www.habr.com