Сада сви они који су хитно ажурирали могу поново да се „раде“: истраживач Зеронс је 21. јула 2019. открио критичну рањивост у Еким агент за пренос поште (МТА) када користите ТЛС за верзије од КСНУМКС КСНУМКС до инклузивно, омогућавајући даљински извршити код са привилегованим правима (ЦВЕ-КСНУМКС-КСНУМКС).
Рањивост
Рањивост је присутна када се користе и ГнуТЛС и ОпенССЛ библиотеке приликом успостављања безбедне ТЛС везе.
Према програмеру Хеико Сцхлиттерманн, конфигурациона датотека у Екиму подразумевано не користи ТЛС, али многе дистрибуције креирају неопходне сертификате током инсталације и омогућавају безбедну везу. Такође новије верзије Екима инсталирају опцију тлс_адвертисе_хостс=* и генеришу потребне сертификате.
зависи од конфигурације. Већина дистрибуција то подразумевано омогућава, али Еким-у је потребан сертификат+кључ да би радио као ТЛС сервер. Вероватно Дистрос креира сертификат током подешавања. Новији Еким-ови имају опцију тлс_адвертисе_хостс која је подразумевана вредност "*" и креирају самопотписани сертификат, ако ниједан није обезбеђен.
Сама рањивост лежи у погрешној обради СНИ (Сервер Наме Индицатион, технологија уведена 2003. године у РФЦ 3546 за клијента да затражи исправан сертификат за име домена, Дистрибуција ТЛС СНИ стандарда / Блог ВЕБО Групе / Судо Нулл ИТ вести) током ТЛС руковања. Нападач само треба да пошаље СНИ који се завршава обрнутом косом цртом ("") и нултим карактером (" ").
Истраживачи из Куалиса су открили грешку у функцији стринг_принтинг(тлс_ин.сни), која укључује нетачно избегавање „. Као резултат, обрнута коса црта се уписује у датотеку заглавља споол-а без преклапања. Ова датотека се затим чита са привилегованим правима помоћу функције споол_реад_хеадер(), што доводи до прекорачења гомиле.
Вреди напоменути да су у овом тренутку Еким програмери креирали ПоЦ рањивости са извршавањем команди на удаљеном рањивом серверу, али он још није јавно доступан. Због лакоће експлоатације грешке, то је само питање времена, и то прилично кратко.
Ако није могуће ажурирати или инсталирати закрпљену верзију, можете поставити АЦЛ у Еким конфигурацији за опцију ацл_смтп_маил са следећим правилима:
# to be prepended to your mail acl (the ACL referenced
# by the acl_smtp_mail main config option)
deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_sni}}}}
deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_peerdn}}}}