[Warning] Schwerwiegende Sicherheitsprobleme in Mailserver-Software Exim - Workaround verfügbar

Robert Waldner waldner at cert.at
Mon Nov 27 09:59:12 CET 2017 

27. November 2017

Beschreibung

   Das Exim-Projekt hat am 25. 11. 2017 Informationen zu einer
   schwerwiegenden Sicherheitslücke veröffentlicht.

Details

   Durch Ausnutzen eines Use-after-free Fehlers können Angreifer
   potentiell beliebigen Code auf betroffenen Mailservern ausführen.

   CVE-Nummern dazu: CVE-2017-16943, CVE-2017-16944

Auswirkungen

   Ein Angreifer hat potentiell vollen Zugriff auf ein betroffenes
   System, daher sind alle Daten auf diesen Systemen, sowie alle durch
   diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN,
   Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

   Öffentlich erreichbare Mailserver, auf denen die Mailserver-Software
   (MTA) Exim in folgenden Versionen installiert und die CHUNKING-Option
   aktiv ist:
     * 4.88
     * 4.89

   Ob die CHUNKING-Option aktiv ist kann geprüft werden, indem in den
   Capabilities (nach Senden eines entsprechenden EHLO Kommandos) auf
   Ausgabe des "CHUNKING"-Keywords gesucht wird.

Abhilfe

   Bis zum Erscheinen kompletter fehlerbereinigter Versionen kann das
   Problem mittels Deaktivieren der "CHUNKING"-Option (siehe RFC 1830)
   durch Setzen des folgenden Parameters in der Konfiguration umgangen
   werden:
   chunking_advertise_hosts =

   Dh. die rechte Seite der Option wird auf einen leeren Wert gesetzt.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
   Die "Click-to-Play"-Funktionen aktueller Web Browser sollten
   möglichst für alle Arten von Browser-Plugins verwendet werden.
     __________________________________________________________________

  Informationsquelle(n):
  Meldung auf exim-announce (englisch)
  https://lists.exim.org/lurker/message/20171125.034842.d1d75cac.en.html
  Artikel dazu bei The Register (englisch)
  https://www.theregister.co.uk/2017/11/26/exim_rce_vulnerability/
  RFC 1830 (englisch)
  https://tools.ietf.org/html/rfc1830



-- 
// Robert Waldner <waldner at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 811 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20171127/63e1186f/attachment.sig>

More information about the Warning mailing list