Di van demên dawî de, di destpêka havînê de, bangên berbelav bûn ku Exim li guhertoya 4.92-ê were nûve kirin ji ber qelsiya CVE-2019-10149 (). Û vê dawiyê derket holê ku malware Sustes biryar da ku ji vê qelsiyê sûd werbigire.
Naha hemî kesên ku bi lezgînî nûve kirin dikarin dîsa "şa bibin": di 21ê Tîrmeha 2019an de, lêkolîner Zerons qelsiyek krîtîk li Dema ku TLS bikar tîne, nûnerê Veguheztina Mail Exim (MTA). ji bo versiyonên ji 4.80 bi 4.92.1 tevhev, rê dide dûr kodê bi mafên îmtiyaz bicîh bikin ().
Qelsbûn
Dema ku hem pirtûkxaneyên GnuTLS û hem jî OpenSSL bikar tînin dema ku têkiliyek TLS-ya ewledar ava dikin, zerafet heye.
Li gorî pêşdebirker Heiko Schlittermann, pelê mîhengê li Exim ji hêla xwerû TLS-ê bikar nayne, lê gelek belavok di dema sazkirinê de sertîfîkayên pêwîst diafirînin û pêwendiyek ewledar çalak dikin. Di heman demê de guhertoyên nû yên Exim vebijarkê saz dikin tls_advertise_hosts=* û sertîfîkayên pêwîst biafirînin.
bi veavakirinê ve girêdayî ye. Piraniya belavokan wê ji hêla xwerû ve çalak dikin, lê Exim pêdivî bi sertîfîka + mifteyek heye ku wekî serverek TLS bixebite. Dibe ku Distros di dema sazkirinê de Certek çêbikin. Eximsên nûtir vebijarka tls_advertise_hosts heye ku wekî "*"-ê vedihewîne û sertîfîkayek xwe-îmzakirî diafirîne, heke yek neyê peyda kirin.
Zelalbûn bixwe di pêvajoyek nerast a SNI de ye (Nîşana Navê Pêşkêşkar, teknolojiyek ku di sala 2003-an de di RFC 3546 de hatî destnîşan kirin ji bo ku xerîdar daxwaznameyek rast ji bo navek domainê bixwaze, ) di dema destanek TLS de. Êrîşkerek tenê pêdivî ye ku SNI-ya ku bi paşkêşek ("") û karakterek betal ("") bi dawî dibe bişîne.
Lekolînwanên ji Qualys di fonksiyona string_printing(tls_in.sni) de xeletiyek keşf kirin, ku tê de revîna nerast ji "" re têkildar e. Wekî encamek, paşvekêşana li ser pelê sernavê spoolê çapê bêyî rev tê nivîsandin. Dûv re ev pel bi mafên îmtiyaz ji hêla fonksiyona spool_read_header() ve tê xwendin, ku dibe sedema berbi zêdebûnê.
Hêjayî gotinê ye ku di vê gavê de, pêşdebirên Exim bi pêkanîna fermanan li ser serverek xedar a dûr PoC-ya qelsiyê afirandine, lê ew hîna ji raya giştî re nayê peyda kirin. Ji ber hêsaniya karanîna xeletiyê, ew tenê meseleyek dem e, û pir kurt e.
Lêkolînek berfirehtir ji hêla Qualys ve dikare were dîtin .
Bikaranîna SNI di TLS de
Hejmara pêşkêşkerên gelemperî yên potansiyel xeternak
Li gorî statîstîkên ji pêşkêşkerek mezin a mêvandariyê E-Soft Inc ji 1ê Îlonê ve, li ser serverên kirêkirî, guhertoya 4.92 ji% 70-ê mêvandaran tê bikar anîn.
Awa
Hejmara Pêşkêşkeran
ji sedî
4.92.1
6471
1.28%
4.92
376436
74.22%
4.91
58179
11.47%
4.9
5732
1.13%
4.89
10700
2.11%
4.87
14177
2.80%
4.84
9937
1.96%
Guhertoyên din
25568
5.04%
Statîstîkên pargîdaniya E-Soft Inc
Ger hûn motorek lêgerînê bikar bînin , paşê ji 5,250,000 di databasa serverê de:
- nêzîkî 3,500,000 Exim 4.92 bikar tînin (nêzîkî 1,380,000 SSL / TLS bikar tînin);
- zêdetirî 74,000 4.92.1 bikar tînin (nêzîkî 25,000 SSL / TLS bikar tînin).
Bi vî rengî, pêşkêşkerên Exim yên potansiyel xeternak ên bi gelemperî têne zanîn û gihîştî têne hejmartin 1.5M.
Li Shodan li serverên Exim bigerin
parastina
- Vebijarka herî hêsan, lê nayê pêşniyar kirin ev e ku hûn TLS bikar neynin, ku dê di encamê de peyamên e-nameyê bi zelalî werin şandin.
- Ji bo ku ji îstismarkirina qelsiyê dûr nekevin, çêtir e ku meriv guhertoyê nûve bike .
- Ger ne gengaz be nûvekirin an sazkirina guhertoyek patchedkirî, hûn dikarin di veavakirina Exim-ê de ji bo vebijarkê ACL saz bikin. acl_smtp_mail bi qaîdeyên jêrîn:
# to be prepended to your mail acl (the ACL referenced # by the acl_smtp_mail main config option) deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_sni}}}} deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_peerdn}}}}
Source: www.habr.com