рд╣рд╛рд▓рд╕рд╛рд▓реИ, рдкреНрд░рд╛рд░рдореНрднрд┐рдХ рдЧрд░реНрдореАрдорд╛, CVE-4.92-2019 рдЬреЛрдЦрд┐рдордХрд╛ рдХрд╛рд░рдг Exim рд╕рдВрд╕реНрдХрд░рдг 10149 рдорд╛ рдЕрджреНрдпрд╛рд╡рдзрд┐рдХ рдЧрд░реНрдирдХрд╛ рд▓рд╛рдЧрд┐ рд╡реНрдпрд╛рдкрдХ рдХрд▓рд╣рд░реВ рдерд┐рдП (
рдЕрдм рддреБрд░реБрдиреНрдд рдЕрджреНрдпрд╛рд╡рдзрд┐рдХ рдЧрд░реНрдиреЗ рд╕рдмреИрд▓реЗ рдлреЗрд░рд┐ "рдЖрдирдиреНрдж" рдЧрд░реНрди рд╕рдХреНрдЫрдиреН: рдЬреБрд▓рд╛рдИ 21, 2019 рдорд╛, рдЕрдиреБрд╕рдиреНрдзрд╛рдирдХрд░реНрддрд╛ Zerons рдорд╛ рдПрдХ рдорд╣рддреНрд╡рдкреВрд░реНрдг рдЬреЛрдЦрд┐рдо рдкрддреНрддрд╛ рд▓рдЧрд╛рдПред TLS рдкреНрд░рдпреЛрдЧ рдЧрд░реНрджрд╛ рдПрдХреНрдЬрд┐рдо рдореЗрд▓ рдЯреНрд░рд╛рдиреНрд╕рдлрд░ рдПрдЬреЗрдиреНрдЯ (MTA) рдмрд╛рдЯ рд╕рдВрд╕реНрдХрд░рдгрд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ рдЧрд░реНрди 4.80 4.92.1 рд╕рдорд╛рд╡реЗрд╢реА, рд░рд┐рдореЛрдЯ рдЕрдиреБрдорддрд┐ рджрд┐рдБрджреИ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдкреНрд░рд╛рдкреНрдд рдХреЛрдб рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдЧрд░реНрдиреБрд╣реЛрд╕реН (
рдХрдордЬреЛрд░реА
рд╕реБрд░рдХреНрд╖рд┐рдд TLS рдЬрдбрд╛рди рд╕реНрдерд╛рдкрдирд╛ рдЧрд░реНрджрд╛ рджреБрдмреИ GnuTLS рд░ OpenSSL рдкреБрд╕реНрддрдХрд╛рд▓рдпрд╣рд░реВ рдкреНрд░рдпреЛрдЧ рдЧрд░реНрджрд╛ рдЬреЛрдЦрд┐рдо рдЙрдкрд╕реНрдерд┐рдд рд╣реБрдиреНрдЫред
рд╡рд┐рдХрд╛рд╕рдХрд░реНрддрд╛ Heiko Schlittermann рдЕрдиреБрд╕рд╛рд░, Exim рдорд╛ рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди рдлрд╛рдЗрд▓рд▓реЗ рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рд░реВрдкрдорд╛ TLS рдкреНрд░рдпреЛрдЧ рдЧрд░реНрджреИрди, рддрд░ рдзреЗрд░реИ рд╡рд┐рддрд░рдгрд╣рд░реВрд▓реЗ рд╕реНрдерд╛рдкрдирд╛рдХреЛ рд╕рдордпрдорд╛ рдЖрд╡рд╢реНрдпрдХ рдкреНрд░рдорд╛рдгрдкрддреНрд░рд╣рд░реВ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрджрдЫ рд░ рд╕реБрд░рдХреНрд╖рд┐рдд рдЬрдбрд╛рди рд╕рдХреНрд╖рдо рдЧрд░реНрджрдЫред рд╕рд╛рдереИ Exim рдХреЛ рдирдпрд╛рдБ рд╕рдВрд╕реНрдХрд░рдгрд╣рд░реВ рд╡рд┐рдХрд▓реНрдк рд╕реНрдерд╛рдкрдирд╛ рдЧрд░реНрдиреБрд╣реЛрд╕реН tls_advertise_hosts=* рд░ рдЖрд╡рд╢реНрдпрдХ рдкреНрд░рдорд╛рдгрдкрддреНрд░рд╣рд░реВ рдЙрддреНрдкрдиреНрди рдЧрд░реНрдиреБрд╣реЛрд╕реНред
рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди рдорд╛ рдирд┐рд░реНрднрд░ рдЧрд░реНрджрдЫред рдзреЗрд░реИ distros рд▓реЗ рдпрд╕рд▓рд╛рдИ рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рд░реВрдкрдорд╛ рд╕рдХреНрд╖рдо рдЧрд░реНрджрдЫ, рддрд░ Exim рд▓рд╛рдИ TLS рд╕рд░реНрднрд░рдХреЛ рд░реВрдкрдорд╛ рдХрд╛рдо рдЧрд░реНрди рдкреНрд░рдорд╛рдгрдкрддреНрд░+рдХреБрдЮреНрдЬреА рдЪрд╛рд╣рд┐рдиреНрдЫред рд╕рдореНрднрд╡рддрдГ рдбрд┐рд╕реНрдЯреНрд░реЛрд▓реЗ рд╕реЗрдЯрдЕрдкрдХреЛ рд╕рдордпрдорд╛ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрджрдЫред рдирдпрд╛рдБ Exims рдорд╛ tls_advertise_hosts рд╡рд┐рдХрд▓реНрдк "*" рдорд╛ рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдЫ рд░ рдХреБрдиреИ рдкрдирд┐ рдкреНрд░рджрд╛рди рдЧрд░рд┐рдПрдХреЛ рдЫреИрди рднрдиреЗ, рд╕реНрд╡-рд╣рд╕реНрддрд╛рдХреНрд╖рд░рд┐рдд рдкреНрд░рдорд╛рдгрдкрддреНрд░ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрдиреБрд╣реЛрд╕реНред
рдЬреЛрдЦрд┐рдо рдЖрдлреИрдорд╛ SNI рдХреЛ рдЧрд▓рдд рдкреНрд░рд╢реЛрдзрдирдорд╛ рдирд┐рд╣рд┐рдд рдЫ (рд╕рд░реНрднрд░ рдирд╛рдо рд╕рдВрдХреЗрдд, рдПрдХ рдкреНрд░рд╡рд┐рдзрд┐ 2003 рдорд╛ RFC 3546 рдорд╛ рдПрдХ рдЧреНрд░рд╛рд╣рдХрд▓рд╛рдИ рдбреЛрдореЗрди рдирд╛рдордХреЛ рд▓рд╛рдЧрд┐ рд╕рд╣реА рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЕрдиреБрд░реЛрдз рдЧрд░реНрдирдХреЛ рд▓рд╛рдЧрд┐ рдкреЗрд╢ рдЧрд░рд┐рдПрдХреЛ рдерд┐рдпреЛ,
Qualys рдХрд╛ рдЕрдиреНрд╡реЗрд╖рдХрд╣рд░реВрд▓реЗ string_printing(tls_in.sni) рдкреНрд░рдХрд╛рд░реНрдпрдорд╛ рдПрдЙрдЯрд╛ рдмрдЧ рдкрддреНрддрд╛ рд▓рдЧрд╛рдПрдХрд╛ рдЫрдиреН, рдЬрд╕рдорд╛ "" рдХреЛ рдЧрд▓рдд рдПрд╕реНрдХреЗрдкрд┐рдЩ рд╕рдорд╛рд╡реЗрд╢ рдЫред рдирддрд┐рдЬрд╛рдХреЛ рд░реВрдкрдорд╛, рдмреНрдпрд╛рдХрд╕реНрд▓реНрдпрд╛рд╢ рдкреНрд░рд┐рдиреНрдЯ рд╕реНрдкреВрд▓ рд╣реЗрдбрд░ рдлрд╛рдЗрд▓рдорд╛ рдЕрдирд╕реНрдХреЗрдк рдЧрд░рд┐рдПрдХреЛ рд▓реЗрдЦрд┐рдПрдХреЛ рдЫред рдпрд╕ рдлрд╛рдЗрд▓рд▓рд╛рдИ рд╕реНрдкреВрд▓_рд░реАрдб_рд╣реЗрдбрд░() рдкреНрд░рдХрд╛рд░реНрдпрджреНрд╡рд╛рд░рд╛ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдкреНрд░рд╛рдкреНрдд рдЕрдзрд┐рдХрд╛рд░рд╣рд░реВрд╕рдБрдЧ рдкрдврд┐рдиреНрдЫ, рдЬрд╕рд▓реЗ рд╣рд┐рдк рдУрднрд░рдлреНрд▓реЛрдорд╛ рдЬрд╛рдиреНрдЫред
рдпреЛ рдзреНрдпрд╛рди рджрд┐рди рд▓рд╛рдпрдХ рдЫ рдХрд┐ рдпрд╕ рдХреНрд╖рдгрдорд╛, рдПрдХреНрдЬрд┐рдо рд╡рд┐рдХрд╛рд╕рдХрд░реНрддрд╛рд╣рд░реВрд▓реЗ рд░рд┐рдореЛрдЯ рдХрдордЬреЛрд░ рд╕рд░реНрднрд░рдорд╛ рдЖрджреЗрд╢рд╣рд░реВрдХреЛ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрдирдХреЛ рд╕рд╛рде рдХрдордЬреЛрд░реАрд╣рд░реВрдХреЛ PoC рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реЗрдХрд╛ рдЫрдиреН, рддрд░ рдпреЛ рдЕрдЭреИ рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рд░реВрдкрдорд╛ рдЙрдкрд▓рдмреНрдз рдЫреИрдиред рдмрдЧрдХреЛ рд╢реЛрд╖рдгрдХреЛ рд╕рд╣рдЬрддрд╛рдХреЛ рдХрд╛рд░рдг, рдпреЛ рдХреЗрд╡рд▓ рд╕рдордпрдХреЛ рдХреБрд░рд╛ рд╣реЛ, рд░ рдПрдХрджрдо рдЫреЛрдЯреЛред
Qualys рджреНрд╡рд╛рд░рд╛ рдердк рд╡рд┐рд╕реНрддреГрдд рдЕрдзреНрдпрдпрди рдкрд╛рдЙрди рд╕рдХрд┐рдиреНрдЫ
TLS рдорд╛ SNI рдкреНрд░рдпреЛрдЧ рдЧрд░реНрджреИ
рд╕рдореНрднрд╛рд╡рд┐рдд рд░реВрдкрдорд╛ рдХрдордЬреЛрд░ рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рд╕рд░реНрднрд░рд╣рд░реВрдХреЛ рд╕рдВрдЦреНрдпрд╛
рдареВрд▓реЛ рд╣реЛрд╕реНрдЯрд┐рдВрдЧ рдкреНрд░рджрд╛рдпрдХрдмрд╛рдЯ рддрдереНрдпрд╛рдЩреНрдХ рдЕрдиреБрд╕рд╛рд░ рдИ-рд╕рдлреНрдЯ рдЗрдВрдХ рд╕реЗрдкреНрдЯреЗрдореНрдмрд░ 1 рд╕рдореНрдо, рднрд╛рдбрд╛рдорд╛ рд▓рд┐рдЗрдПрдХрд╛ рд╕рд░реНрднрд░рд╣рд░реВрдорд╛, рд╕рдВрд╕реНрдХрд░рдг 4.92 70% рднрдиреНрджрд╛ рдмрдвреА рд╣реЛрд╕реНрдЯрд╣рд░реВрдорд╛ рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреНрдЫред
рд╕рдВрд╕реНрдХрд░рдг
рд╕рд░реНрднрд░рд╣рд░реВрдХреЛ рд╕рдВрдЦреНрдпрд╛
рдкреНрд░рддрд┐рд╢рдд
4.92.1
6471
1.28%
4.92
376436
74.22%
4.91
58179
11.47%
4.9
5732
1.13%
4.89
10700
2.11%
4.87
14177
2.80%
4.84
9937
1.96%
рдЕрдиреНрдп рд╕рдВрд╕реНрдХрд░рдгрд╣рд░реВ
25568
5.04%
рдИ-рд╕рдлреНрдЯ рдЗрдВрдХ рдХрдореНрдкрдиреА рддрдереНрдпрд╛рдЩреНрдХ
рдпрджрд┐ рддрдкрд╛рдЗрдБ рдЦреЛрдЬ рдЗрдиреНрдЬрд┐рди рдкреНрд░рдпреЛрдЧ рдЧрд░реНрдиреБрд╣реБрдиреНрдЫ
- рд▓рдЧрднрдЧ 3,500,000 рд▓реЗ Exim 4.92 рдкреНрд░рдпреЛрдЧ рдЧрд░реНрджрдЫ (рд▓рдЧрднрдЧ 1,380,000 SSL/TLS рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░);
- 74,000 рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ 4.92.1 рднрдиреНрджрд╛ рдмрдвреА (SSL/TLS рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ рд▓рдЧрднрдЧ 25,000)ред
рддрд╕рд░реНрде, рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рд░реВрдкрдорд╛ рдЬреНрдЮрд╛рдд рд░ рдкрд╣реБрдБрдЪрдпреЛрдЧреНрдп Exim рд╕рдореНрднрд╛рд╡рд┐рдд рд░реВрдкрдорд╛ рдХрдордЬреЛрд░ рд╕рд░реНрднрд░рд╣рд░реВрдХреЛ рд╕рдВрдЦреНрдпрд╛ рдмрд╛рд░реЗ 1.5 рдорд┐рд▓рд┐рдпрди.
Shodan рдорд╛ рдПрдХреНрдЬрд┐рдо рд╕рд░реНрднрд░ рдЦреЛрдЬреНрдиреБрд╣реЛрд╕реН
рд╕реБрд░рдХреНрд╖рд╛
- рд╕рдмреИрднрдиреНрджрд╛ рд╕рд░рд▓, рддрд░ рд╕рд┐рдлрд╛рд░рд┐рд╕ рдЧрд░рд┐рдПрдХреЛ рдЫреИрди, рд╡рд┐рдХрд▓реНрдк рднрдиреЗрдХреЛ TLS рдкреНрд░рдпреЛрдЧ рдирдЧрд░реНрдиреБ рд╣реЛ, рдЬрд╕рдХреЛ рдкрд░рд┐рдгрд╛рдо рдЗрдореЗрд▓ рд╕рдиреНрджреЗрд╢рд╣рд░реВ рд╕реНрдкрд╖реНрдЯ рд░реВрдкрдорд╛ рдлрд░реНрд╡рд╛рд░реНрдб рдЧрд░рд┐рдиреЗрдЫред
- рдЕрд╕реБрд░рдХреНрд╖рд╛рдХреЛ рд╢реЛрд╖рдгрдмрд╛рдЯ рдмрдЪреНрдирдХреЛ рд▓рд╛рдЧрд┐, рдпреЛ рд╕рдВрд╕реНрдХрд░рдгрдорд╛ рдЕрджреНрдпрд╛рд╡рдзрд┐рдХ рдЧрд░реНрди рдЕрдЭ рд░рд╛рдореНрд░реЛ рд╣реБрдиреЗрдЫ
рдПрдХреНрдЬрд┐рдо рдЗрдиреНрдЯрд░рдиреЗрдЯ рдореЗрд▓рд░ рек.репреи.реи . - рдпрджрд┐ рдкреНрдпрд╛рдЪ рдЧрд░рд┐рдПрдХреЛ рд╕рдВрд╕реНрдХрд░рдг рдЕрджреНрдпрд╛рд╡рдзрд┐рдХ рд╡рд╛ рд╕реНрдерд╛рдкрдирд╛ рдЧрд░реНрди рдЕрд╕рдореНрднрд╡ рдЫ рднрдиреЗ, рддрдкрд╛рдЗрдБ рд╡рд┐рдХрд▓реНрдкрдХреЛ рд▓рд╛рдЧрд┐ рдПрдХреНрдЬрд┐рдо рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рдирдорд╛ ACL рд╕реЗрдЯ рдЧрд░реНрди рд╕рдХреНрдиреБрд╣реБрдиреНрдЫред acl_smtp_mail рдирд┐рдореНрди рдирд┐рдпрдорд╣рд░реБ рд╕рдВрдЧ:
# to be prepended to your mail acl (the ACL referenced # by the acl_smtp_mail main config option) deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_sni}}}} deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_peerdn}}}}
рд╕реНрд░реЛрдд: www.habr.com