မကြာသေးမီက၊ နွေရာသီအစောပိုင်းတွင် CVE-4.92-2019 အားနည်းချက်ကြောင့် Exim ကို ဗားရှင်း 10149 သို့ အပ်ဒိတ်လုပ်ရန် ကျယ်ကျယ်ပြန့်ပြန့် တောင်းဆိုမှုများရှိခဲ့သည်။) မကြာသေးမီကမှ Sustes malware သည် ဤအားနည်းချက်ကို အခွင့်ကောင်းယူရန် ဆုံးဖြတ်ခဲ့သည် ။
ယခု အရေးတကြီး မွမ်းမံထားသူများ အားလုံး "ဝမ်းမြောက်" နိုင်ကြပြန်သည်- ဇူလိုင်လ 21 ရက်၊ 2019 ခုနှစ်တွင် သုတေသီ Zerons သည် အရေးကြီးသော အားနည်းချက်တစ်ခုကို ရှာဖွေတွေ့ရှိခဲ့သည်။ TLS ကိုအသုံးပြုသည့်အခါ Exim Mail Transfer agent (MTA) ဗားရှင်းများအတွက် 4.80 မှ 4.92.1 အဝေးထိန်းခွင့်ပြုပါ အခွင့်ထူးခံအခွင့်အရေးများဖြင့် ကုဒ်ကို လုပ်ဆောင်ပါ။ ().
အားနည်းချက်
လုံခြုံသော TLS ချိတ်ဆက်မှုကို ထူထောင်သည့်အခါ GnuTLS နှင့် OpenSSL နှစ်ခုလုံးအား အသုံးပြုသည့်အခါ အားနည်းချက်ရှိနေပါသည်။
ဆော့ဖ်ဝဲရေးသားသူ Heiko Schlittermann ၏အဆိုအရ Exim ရှိ ဖွဲ့စည်းမှုဖိုင်သည် ပုံမှန်အားဖြင့် TLS ကို အသုံးမပြုသော်လည်း ဖြန့်ဖြူးမှုများစွာသည် ထည့်သွင်းစဉ်အတွင်း လိုအပ်သောလက်မှတ်များကို ဖန်တီးကာ လုံခြုံသောချိတ်ဆက်မှုကို ဖွင့်ပေးသည်။ Exim ၏ ဗားရှင်းအသစ်များမှာလည်း အဆိုပါ option ကို ထည့်သွင်းပါ။ tls_advertise_hosts=* လိုအပ်သောလက်မှတ်များကိုထုတ်ပေးပါ။
configuration ပေါ် မူတည်. distros အများစုသည် ၎င်းကို မူရင်းအတိုင်း ဖွင့်ထားသော်လည်း Exim သည် TLS ဆာဗာအဖြစ် လုပ်ဆောင်ရန် လက်မှတ်+ကီးတစ်ခု လိုအပ်သည်။ စနစ်ထည့်သွင်းနေစဉ် Distros သည် Cert တစ်ခုကို ဖန်တီးနိုင်ဖွယ်ရှိသည်။ အသစ်သော Exims များတွင် "*" တွင် ပုံသေသတ်မှတ်ထားသော tls_advertise_hosts ရွေးချယ်ခွင့်ရှိပြီး တစ်ခုမျှမပေးထားပါက ကိုယ်တိုင်လက်မှတ်ထိုးထားသောလက်မှတ်ကိုဖန်တီးပါ။
အားနည်းချက်ကိုယ်တိုင်က SNI (Server Name Indication, 2003 မှာ မိတ်ဆက်ခဲ့တဲ့ နည်းပညာတစ်ခုဖြစ်တဲ့ RFC 3546 မှာ domain name တစ်ခုအတွက် မှန်ကန်တဲ့ လက်မှတ်ကို တောင်းဆိုဖို့အတွက် client တစ်ခု၊ ) TLS လက်ဆွဲစဉ်။ တိုက်ခိုက်သူသည် backslash ("") နှင့် null character (" ") ဖြင့်အဆုံးသတ်ထားသော SNI ကို ပေးပို့ရန်လိုအပ်ပါသည်။
Qualys မှ သုတေသီများသည် “” ၏ မှားယွင်းစွာထွက်ပြေးခြင်း ပါ၀င်သည့် string_printing(tls_in.sni) လုပ်ဆောင်ချက်တွင် ချွတ်ယွင်းချက်တစ်ခုကို ရှာဖွေတွေ့ရှိခဲ့သည်။ ရလဒ်အနေဖြင့် backslash သည် print spool header ဖိုင်သို့ လွတ်မသွားရန် ရေးသားထားသည်။ ထို့နောက် ဤဖိုင်ကို spool_read_header() လုပ်ဆောင်ချက်ဖြင့် အခွင့်ထူးခံအခွင့်အရေးများဖြင့် ဖတ်ပြီး၊ ၎င်းသည် အစုအဝေးသို့ စီးဆင်းသွားစေသည်။
လောလောဆယ်တွင် Exim developer များသည် remote vulnerable server ပေါ်တွင် command များလုပ်ဆောင်ခြင်းဖြင့် အားနည်းချက်များ PoC ကို ဖန်တီးထားသော်လည်း ၎င်းကို လူသိရှင်ကြား မရရှိနိုင်သေးကြောင်း သတိပြုသင့်သည်။ bug ကို အလွယ်တကူ အသုံးချနိုင်ခြင်းကြောင့် အချိန်တိုတိုလေးသာဖြစ်သည်။
Qualys ၏ နောက်ထပ်အသေးစိတ်လေ့လာမှုကို တွေ့ရှိနိုင်သည်။ .
TLS တွင် SNI ကိုအသုံးပြုခြင်း။
ထိခိုက်နိုင်ချေရှိသော အများသူငှာ ဆာဗာအရေအတွက်
ကြီးမားသော hosting ပံ့ပိုးပေးမှစာရင်းဇယားများအရ E-Soft Inc စက်တင်ဘာလ 1 ရက်နေ့အထိ၊ ငှားရမ်းထားသောဆာဗာများတွင် ဗားရှင်း 4.92 ကို host များ၏ 70% ကျော်တွင် အသုံးပြုပါသည်။
ဗားရှင်း
ဆာဗာအရေအတွက်
ရာခိုင်နှုန်းကို
4.92.1
6471
1.28%
4.92
376436
74.22%
4.91
58179
11.47%
4.9
5732
1.13%
4.89
10700
2.11%
4.87
14177
2.80%
4.84
9937
1.96%
အခြားမူကွဲများ
25568
5.04%
E-Soft Inc ကုမ္ပဏီစာရင်းဇယား
ရှာဖွေရေးအင်ဂျင်ကိုသုံးရင် ထို့နောက် ဆာဗာဒေတာဘေ့စ်ရှိ 5,250,000 ထဲမှ
- 3,500,000 ခန့်သည် Exim 4.92 ကိုအသုံးပြုသည် (1,380,000 ခန့် SSL/TLS ကိုအသုံးပြုသည်);
- 74,000 ကိုအသုံးပြုပြီး 4.92.1 ကျော် (SSL/TLS ကိုအသုံးပြုပြီး 25,000 ခန့်)။
ထို့ကြောင့် လူသိရှင်ကြား လူသိများပြီး ဝင်ရောက်နိုင်သော Exim ဖြစ်နိုင်ချေရှိသော အားနည်းချက်ရှိသော ဆာဗာများအကြောင်း နံပါတ်တစ် 1.5 သန်း.
Shodan ရှိ Exim ဆာဗာများကို ရှာဖွေပါ။
ကာကွယ်မှု
- အရိုးရှင်းဆုံးဖြစ်သော်လည်း အကြံပြုထားခြင်းမရှိသော ရွေးချယ်စရာမှာ TLS ကိုအသုံးမပြုဘဲ၊ ရှင်းရှင်းလင်းလင်းဖြင့် အီးမေးလ်စာတိုများ ထပ်ဆင့်ပို့ခြင်းကို ဖြစ်ပေါ်စေသည်။
- အားနည်းချက်ကို အသုံးချခြင်းမှ ရှောင်ရှားရန်၊ ၎င်းသည် ဗားရှင်းသို့ အပ်ဒိတ်လုပ်ရန် ပိုကောင်းပါသည်။ .
- patched ဗားရှင်းကို အပ်ဒိတ်လုပ်ရန် သို့မဟုတ် ထည့်သွင်းရန် မဖြစ်နိုင်ပါက၊ ရွေးချယ်မှုအတွက် Exim configuration တွင် ACL ကို သင် သတ်မှတ်နိုင်သည်။ acl_smtp_mail အောက်ပါစည်းမျဉ်းများနှင့်အတူ
# to be prepended to your mail acl (the ACL referenced # by the acl_smtp_mail main config option) deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_sni}}}} deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_peerdn}}}}
source: www.habr.com