Ба наздикӣ, дар аввали тобистон, даъватҳои васеъ барои навсозӣ кардани Exim ба версияи 4.92 бо сабаби осебпазирии CVE-2019-10149 (). Ва ба наздикӣ маълум шуд, ки нармафзори зараровар Sustes тасмим гирифтааст, ки аз ин осебпазирӣ истифода барад.
Акнун ҳамаи онҳое, ки ба таври фаврӣ навсозӣ шудаанд, метавонанд дубора "шод шаванд": 21 июли соли 2019, муҳаққиқ Зеронс осебпазирии муҳимро дар Exim Mail Transfer agent (MTA) ҳангоми истифодаи TLS барои версияҳои аз 4.80 ба 4.92.1 фарогир, имкони дурдаст кодро бо хукукхои имтиёзнок ичро кунанд ().
Осебпазирӣ
Ин осебпазирӣ ҳангоми истифодаи ҳам китобхонаҳои GnuTLS ва ҳам OpenSSL ҳангоми таъсиси пайвасти бехатари TLS мавҷуд аст.
Ба гуфтаи таҳиягар Ҳейко Шлиттерман, файли конфигуратсия дар Exim ба таври нобаёнӣ TLS-ро истифода намебарад, аммо бисёр дистрибюторҳо ҳангоми насб сертификатҳои заруриро эҷод мекунанд ва пайвасти бехатарро фаъол мекунанд. Инчунин версияҳои навтари Exim ин хосиятро насб мекунанд tls_advertise_hosts=* ва сертификатҳои заруриро эҷод кунед.
ба конфигуратсия вобаста аст. Аксари дистрибюторҳо онро ба таври нобаёнӣ фаъол мекунанд, аммо Exim барои кор ҳамчун сервери TLS ба сертификат+калид ниёз дорад. Эҳтимол, Distros ҳангоми насб Cert эҷод кунад. Эксимҳои навтар дорои хосиятҳои tls_advertise_hosts бо нобаёнӣ ба "*" мебошанд ва сертификати худ имзошуда эҷод мекунанд, агар ҳеҷ чиз дода нашавад.
Худи осебпазирӣ дар коркарди нодурусти SNI (Indication Name Server, технологияе, ки соли 2003 дар RFC 3546 барои муштарӣ барои дархост кардани сертификати дуруст барои номи домен пешниҳод шудааст) аст. ) ҳангоми дастфишори TLS. Ба ҳамлагар танҳо лозим аст, ки SNI-ро бо хатти баръакс ("") ва аломати нул (" " фиристад.
Муҳаққиқон аз Qualys иштибоҳеро дар функсияи string_printing(tls_in.sni) кашф карданд, ки фироркунии нодурусти ""-ро дар бар мегирад. Дар натиҷа, хатти баръакс ба файли сарлавҳаи сарлавҳаи чоп бидуни интиқол навишта мешавад. Пас аз он ин файл аз ҷониби функсияи spool_read_header() бо ҳуқуқҳои имтиёзнок хонда мешавад, ки боиси пур шудани тӯда мегардад.
Қобили зикр аст, ки дар ҳоли ҳозир таҳиягарони Exim як PoC осебпазириро бо иҷрои фармонҳо дар сервери осебпазири дурдаст сохтаанд, аммо он ҳанӯз дастрас нест. Аз сабаби осонии истифодаи хато, ин танҳо як масъалаи вақт ва хеле кӯтоҳ аст.
Таҳқиқоти муфассалро аз ҷониби Qualys пайдо кардан мумкин аст .
Истифодаи SNI дар TLS
Шумораи серверҳои ҷамъиятии эҳтимолан осебпазир
Тибқи омори як провайдери хостинги калон E-Soft Inc аз 1 сентябр дар серверҳои иҷора, версияи 4.92 дар зиёда аз 70% ҳостҳо истифода мешавад.
Version
Шумораи серверҳо
фоизи
4.92.1
6471
1.28%
4.92
376436
74.22%
4.91
58179
11.47%
4.9
5732
1.13%
4.89
10700
2.11%
4.87
14177
2.80%
4.84
9937
1.96%
Версияҳои дигар
25568
5.04%
Маълумот дар бораи ширкати E-Soft Inc
Агар шумо системаи ҷустуҷӯиро истифода баред , пас аз 5,250,000 дар базаи сервер:
- тақрибан 3,500,000 Exim 4.92-ро истифода мебаранд (тақрибан 1,380,000 бо истифода аз SSL/TLS);
- зиёда аз 74,000 4.92.1 бо истифода аз 25,000 (тақрибан XNUMX XNUMX бо истифода аз SSL/TLS).
Ҳамин тариқ, шумораи серверҳои эҳтимолан осебпазири Exim ба омма маълум ва дастрас аст 1.5M.
Ҷустуҷӯи серверҳои Exim дар Шодан
ҳимоя
- Варианти соддатарин, аммо тавсия дода намешавад, истифода набурдани TLS мебошад, ки боиси ба таври равшан фиристодани паёмҳои почтаи электронӣ мегардад.
- Барои роҳ надодан ба истифода аз осебпазирӣ, навсозии версия беҳтар аст .
- Агар навсозӣ ё насб кардани версияи часпак ғайриимкон бошад, шумо метавонед ACL-ро дар конфигуратсияи Exim барои интихоб насб кунед acl_smtp_mail бо қоидаҳои зерин:
# to be prepended to your mail acl (the ACL referenced # by the acl_smtp_mail main config option) deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_sni}}}} deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_peerdn}}}}
Манбаъ: will.com