Exim-sähköpostiohjelmistossa kriittisiä haavoittuvuuksia

Exim-sähköpostiohjelmistosta on löydetty 21 haavoittuvuutta, jotka koskevat versioita jopa vuodesta 2004 alkaen. Ohjelmisto tulee päivittää uusimpaan versioon viipymättä. Haavoittuvuus koskee myös cPanel-ohjelmistoa, joka käyttää Eximiä komponenttina.

Haavoittuvuuksien avulla on mahdollista kaapata koko palvelin haltuun. Tutkijoiden mukaan haavoittuvuudet mahdollistavat hyökkäyksen automatisoinnin ja matomaisen leviämisen.

Osa julkaistusta haavoittuvuuksista koskee kaikkia Exim-versioita vuodesta 2004 alkaen, joten oletuksena kaikki Exim-sähköpostiohjelmistot ovat päivityksen tarpeessa.

Hosting-ympäristöjen hallinnassa käytettävän cPanel-ohjelmiston käyttäjien tulee myös päivittää tuotteensa, koska sen mukana tulee Exim-pohjainen sähköpostipalvelu.

Haavoittuvuuksien hyväksikäyttö on erittäin todennäköistä lähitulevaisuudessa, koska Exim ja cPanel ovat hyvin yleisesti käytössä olevia tuotteita.

Haavoittuvuuden kohde

Kaikki versiota 4.94.2 aiemmat Exim-versiot ovat haavoittuvia.

cPanel vanhemmat kuin 96.0.3, 94.0.7 tai 86.0.40

Mistä on kysymys?

Päivitys Exim versioon 4.94.2

Päivitys versioon 96.0.3, 94.0.7 tai 86.0.40

Eximin omat sivut (ulkoinen linkki)

Qualyksen kirjoitus (ulkoinen linkki)

cPanel change-log (ulkoinen linkki)

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.