[Warning] Schwerwiegende Sicherheitsprobleme in Mailserver-Software Exim - Workaround verfügbar
Robert Waldner
waldner at cert.at
Mon Nov 27 09:59:12 CET 2017
27. November 2017
Beschreibung
Das Exim-Projekt hat am 25. 11. 2017 Informationen zu einer
schwerwiegenden Sicherheitslücke veröffentlicht.
Details
Durch Ausnutzen eines Use-after-free Fehlers können Angreifer
potentiell beliebigen Code auf betroffenen Mailservern ausführen.
CVE-Nummern dazu: CVE-2017-16943, CVE-2017-16944
Auswirkungen
Ein Angreifer hat potentiell vollen Zugriff auf ein betroffenes
System, daher sind alle Daten auf diesen Systemen, sowie alle durch
diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN,
Fileshares, etc.) Daten und anderen Systeme gefährdet.
Betroffene Systeme
Öffentlich erreichbare Mailserver, auf denen die Mailserver-Software
(MTA) Exim in folgenden Versionen installiert und die CHUNKING-Option
aktiv ist:
* 4.88
* 4.89
Ob die CHUNKING-Option aktiv ist kann geprüft werden, indem in den
Capabilities (nach Senden eines entsprechenden EHLO Kommandos) auf
Ausgabe des "CHUNKING"-Keywords gesucht wird.
Abhilfe
Bis zum Erscheinen kompletter fehlerbereinigter Versionen kann das
Problem mittels Deaktivieren der "CHUNKING"-Option (siehe RFC 1830)
durch Setzen des folgenden Parameters in der Konfiguration umgangen
werden:
chunking_advertise_hosts =
Dh. die rechte Seite der Option wird auf einen leeren Wert gesetzt.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten
möglichst für alle Arten von Browser-Plugins verwendet werden.
__________________________________________________________________
Informationsquelle(n):
Meldung auf exim-announce (englisch)
https://lists.exim.org/lurker/message/20171125.034842.d1d75cac.en.html
Artikel dazu bei The Register (englisch)
https://www.theregister.co.uk/2017/11/26/exim_rce_vulnerability/
RFC 1830 (englisch)
https://tools.ietf.org/html/rfc1830
--
// Robert Waldner <waldner at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 811 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20171127/63e1186f/attachment.sig>
More information about the Warning
mailing list