Laipẹ diẹ, ni ibẹrẹ igba ooru, awọn ipe ni ibigbogbo wa fun Exim lati ṣe imudojuiwọn si ẹya 4.92 nitori ailagbara CVE-2019-10149 (). Ati laipẹ o wa jade pe Sustes malware pinnu lati lo anfani ti ailagbara yii.
Ni bayi gbogbo awọn ti o ṣe imudojuiwọn ni iyara le “yọ” lẹẹkansi: ni Oṣu Keje ọjọ 21, Ọdun 2019, oniwadi Zerons ṣe awari ailagbara pataki kan ninu Aṣoju Gbigbe Ifiranṣẹ Exim (MTA) nigba lilo TLS fun awọn ẹya lati 4.80 4.92.1 soke jumo, gbigba latọna jijin ṣiṣẹ koodu pẹlu awọn ẹtọ ti o ni anfani ().
Ipalara
Ailagbara naa wa nigba lilo mejeeji GnuTLS ati awọn ile-ikawe OpenSSL nigba ti iṣeto asopọ TLS to ni aabo.
Gẹgẹbi Olùgbéejáde Heiko Schlittermann, faili iṣeto ni Exim ko lo TLS nipasẹ aiyipada, ṣugbọn ọpọlọpọ awọn pinpin ṣẹda awọn iwe-ẹri pataki lakoko fifi sori ẹrọ ati mu asopọ to ni aabo ṣiṣẹ. Bakannaa awọn ẹya tuntun ti Exim fi aṣayan sii tls_polowo_hosts=* ati ṣe awọn iwe-ẹri pataki.
da lori iṣeto ni. Pupọ julọ distros jẹ ki o ṣiṣẹ nipasẹ aiyipada, ṣugbọn Exim nilo bọtini ijẹrisi+ lati ṣiṣẹ bi olupin TLS kan. Boya Distros ṣẹda Iwe-ẹri lakoko iṣeto. Awọn Exims Tuntun ni aṣayan tls_advertise_hosts aiyipada si "*" ati ṣẹda ijẹrisi ti ara ẹni ti o fowo si, ti ko ba si ọkan ti o pese.
Ailagbara funrararẹ wa ni sisẹ ti ko tọ ti SNI (Itọkasi Orukọ Olupin, imọ-ẹrọ ti a ṣe ni 2003 ni RFC 3546 fun alabara lati beere ijẹrisi to pe fun orukọ ìkápá kan, ) lakoko mimu ọwọ TLS kan. Olukọni kan nilo lati firanṣẹ ipari SNI kan pẹlu ifẹhinti ("") ati ohun kikọ asan ("").
Awọn oniwadi lati Qualys ti ṣe awari kokoro kan ninu iṣẹ string_printing (tls_in.sni), eyiti o kan salọ ti ko tọ ti “”. Bi abajade, a ti kọ ẹhin ẹhin laibọ si faili akọsori spool titẹjade. Faili yii jẹ kika pẹlu awọn ẹtọ ti o ni anfani nipasẹ iṣẹ spool_read_header (), eyiti o yori si aponsedanu.
O tọ lati ṣe akiyesi pe ni akoko yii, awọn olupilẹṣẹ Exim ti ṣẹda PoC ti awọn ailagbara pẹlu ipaniyan pipaṣẹ lori olupin ipalara latọna jijin, ṣugbọn ko tii wa ni gbangba. Nitori irọrun ilokulo ti kokoro, o jẹ ọrọ kan ti akoko, ati kukuru pupọ.
Iwadi alaye diẹ sii nipasẹ Qualys ni a le rii .
Lilo SNI ni TLS
Nọmba awọn olupin gbangba ti o le jẹ ipalara
Gẹgẹbi awọn iṣiro lati ọdọ olupese alejo gbigba nla kan E-Soft Inc bi Oṣu Kẹsan ọjọ 1, lori awọn olupin iyalo, ẹya 4.92 ti lo ni diẹ sii ju 70% ti awọn ọmọ-ogun.
version
Nọmba ti Awọn olupin
ogorun
4.92.1
6471
1.28%
4.92
376436
74.22%
4.91
58179
11.47%
4.9
5732
1.13%
4.89
10700
2.11%
4.87
14177
2.80%
4.84
9937
1.96%
Awọn ẹya miiran
25568
5.04%
Awọn iṣiro ile-iṣẹ E-Soft Inc
Ti o ba lo ẹrọ wiwa , lẹhinna ninu 5,250,000 ninu aaye data olupin:
- nipa 3,500,000 lo Exim 4.92 (nipa 1,380,000 nipa lilo SSL/TLS);
- lori 74,000 lilo 4.92.1 (nipa 25,000 lilo SSL/TLS).
Nitorinaa, ti a mọ ni gbangba ati iraye si Exim awọn olupin ti o ni ipalara jẹ nọmba nipa 1.5M.
Wa awọn olupin Exim ni Shodan
Tita
- Rọrun julọ, ṣugbọn kii ṣe iṣeduro, aṣayan ni lati ma lo TLS, eyiti yoo mu ki awọn ifiranṣẹ imeeli ranṣẹ ni gbangba.
- Lati yago fun ilokulo ti ailagbara, yoo dara julọ lati ṣe imudojuiwọn si ẹya naa .
- Ti ko ba ṣee ṣe lati ṣe imudojuiwọn tabi fi ẹya patched sori ẹrọ, o le ṣeto ACL kan ni iṣeto Exim fun aṣayan. acl_smtp_mail pẹlu awọn ofin wọnyi:
# to be prepended to your mail acl (the ACL referenced # by the acl_smtp_mail main config option) deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_sni}}}} deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_peerdn}}}}
orisun: www.habr.com