Vao haingana, tamin'ny fiandohan'ny fahavaratra, dia nisy antso niely patrana ho an'ny Exim havaozina amin'ny version 4.92 noho ny vulnerability CVE-2019-10149 (). Ary vao haingana no hita fa nanapa-kevitra ny hanararaotra ity vulnerable ity ny malware Sustes.
Ankehitriny dia afaka “hifaly” indray ireo rehetra izay nanavao haingana: tamin'ny 21 Jolay 2019, ny mpikaroka Zerons dia nahita ny fahalemena lehibe amin'ny Exim Mail Transfer agent (MTA) rehefa mampiasa TLS ho an'ny dikan-teny avy amin'ny 4.80 mankany 4.92.1 inclusive, mamela lavitra manatanteraka kaody manana zo manokana ().
Fahamoram-pahavoazana
Misy ny vulnerability rehefa mampiasa ny tranomboky GnuTLS sy OpenSSL rehefa mametraka fifandraisana TLS azo antoka.
Araka ny filazan'ny mpamorona Heiko Schlittermann, ny rakitra fanamafisana ao amin'ny Exim dia tsy mampiasa TLS amin'ny alàlan'ny default, fa ny fizarana maro no mamorona ny mari-pankasitrahana ilaina mandritra ny fametrahana ary mamela ny fifandraisana azo antoka. Ny dikan-teny vaovao amin'ny Exim ihany koa dia mametraka ny safidy tls_advertise_hosts=* ary mamorona ny taratasy fanamarinana ilaina.
miankina amin'ny configuration. Ny ankamaroan'ny distro dia mamela azy io amin'ny alàlan'ny default, fa ny Exim dia mila taratasy fanamarinana + lakile mba hiasa ho mpizara TLS. Angamba ny Distros dia mamorona Cert mandritra ny fanamboarana. Ny Newer Exims dia manana ny safidy tls_advertise_hosts tsy miova amin'ny "*" ary mamorona taratasy fanamarinana nosoniavin'ny tena, raha tsy misy omena.
Ny vulnerability dia miankina amin'ny fanodinana diso ny SNI (Server Name Indication, teknolojia nampidirina tamin'ny 2003 tao amin'ny RFC 3546 ho an'ny mpanjifa iray hangataka ny mari-pankasitrahana marina momba ny anaran-tsehatra, ) mandritra ny fifampikasihan-tanana TLS. Ny mpanafika dia mila mandefa SNI mifarana amin'ny tsipika mihemotra ("") sy tarehintsoratra tsy misy dikany (" ").
Ny mpikaroka avy ao amin'ny Qualys dia nahita bibikely iray tao amin'ny fiasan'ny string_printing(tls_in.sni), izay misy ny fandosirana diso ny "". Vokatr'izany, ny lamosina lamosina dia nosoratana tsy afa-nandositra tao amin'ny fisie lohatenin'ny spool print. Ity rakitra ity dia vakiana miaraka amin'ny zo manokana avy amin'ny spool_read_header() function, izay mitarika ho amin'ny heap overflow.
Tsara ny manamarika fa amin'izao fotoana izao, ny mpamorona Exim dia namorona PoC amin'ny vulnerabilities amin'ny fanatanterahana baiko amin'ny mpizara vulnerable lavitra, saingy mbola tsy hita ampahibemaso izany. Noho ny fanamorana ny fanararaotana ny bibikely, dia fotoana fohy fotsiny izany, ary tena fohy.
Ny fandalinana amin'ny antsipiriany kokoa nataon'i Qualys dia azo jerena .
Mampiasa SNI amin'ny TLS
Isan'ny mpizara ho an'ny daholobe mety ho marefo
Araka ny antontan'isa avy amin'ny mpamatsy fampiantranoana lehibe E-Soft Inc hatramin'ny 1 septambra, amin'ny lohamilina nohofana, ny version 4.92 dia ampiasaina amin'ny 70% mahery amin'ny mpampiantrano.
Version
Isan'ny mpizara
isan-jato
4.92.1
6471
1.28%
4.92
376436
74.22%
4.91
58179
11.47%
4.9
5732
1.13%
4.89
10700
2.11%
4.87
14177
2.80%
4.84
9937
1.96%
Dikan-teny hafa
25568
5.04%
Ny tantaran'ny vidin'ny taham-bolan'ny E-Soft Inc
Raha mampiasa motera fikarohana ianao , avy eo amin'ny 5,250,000 ao amin'ny angon-drakitra mpizara:
- manodidina ny 3,500,000 no mampiasa Exim 4.92 (1,380,000 eo ho eo no mampiasa SSL/TLS);
- mihoatra ny 74,000 no mampiasa 4.92.1 (25,000 eo ho eo no mampiasa SSL/TLS).
Noho izany, ny mpizara Exim mety ho vulnerable amin'ny ankapobeny fantatra sy azo idirana 1.5 tapitrisa.
Mitadiava mpizara Exim ao Shodan
fiarovana
- Ny safidy tsotra indrindra, saingy tsy soso-kevitra, dia ny tsy mampiasa TLS, izay hahatonga ny hafatra mailaka alefa amin'ny mazava.
- Mba hisorohana ny fanararaotana ny vulnerability dia tsara kokoa ny manavao ny dikan-teny .
- Raha tsy azo atao ny manavao na mametraka dikan-teny voapetaka, dia azonao atao ny mametraka ACL ao amin'ny fikandrana Exim ho an'ny safidy acl_smtp_mail miaraka amin'ireto fitsipika manaraka ireto:
# to be prepended to your mail acl (the ACL referenced # by the acl_smtp_mail main config option) deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_sni}}}} deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_peerdn}}}}
Source: www.habr.com