Exim julkaisi korjauksia useisiin vakaviin haavoittuvuuksiin
Exim sähköpostin välitysohjelmistossa (Mail transfer agent - MTA) raportoitiin kuusi kappaletta nollapäivähaavoittuvuuksia Zero Day Initiative (ZDI) julkaisemana 27.9.2023. Tuolloin ohjelmiston kehittäjät eivät olleet vielä julkaisseet haavoittuvuuksiin liittyen mitään tiedotetta tai tarkempia tietoa haavoittuvuuksista eikä niiden hyväksikäytön estämisestä. 1.10.2023 Exim julkaisi tiedotteen haavoittuvuuksista sivuillaan, jossa kerrottiin aikataulu korjausten julkaisulle 2.10.2023 klo 15:00 sekä hyväksikäytön rajoituskeinoja.
Kolme julkaistuista haavoittuvuuksista (CVE-2023-42114, CVE-2023-42115 ja CVE-2023-42116) liittyvät SPA/NTLM ja EXTERNAL tunnistautumistoimintoihin. Mikäli näitä tunnistautumismenetelmiä ei ole käytössä, ei haavoittuvuutta ole mahdollista hyväksikäyttää ympäristössä.
Yksi haavoittuvuuksista (CVE-2023-42117) liittyy Exim ohjelmiston yhteydessä valinnaisesti käytettävän edustapalvelun (proxy-protocol) välittämien tietojen käsittelyyn. Mikäli sellaista ei käytetä, ei haavoittuvuutta ole mahdollista hyväksikäyttää ympäristössä.
Seuraava haavoittuvuus (CVE-2023-42118) liittyy Sender Policy Framework (SPF) tarkistuksen suorittamiseen käytettävään kirjastoon (libspf2). Jos toiminnallisuus ei ole käytössä, ei haavoittuvuutta ole mahdollista hyväksikäyttää ympäristössä.
Viimeisin haavoittuvuuksista (CVE-2023-42219) liittyy nimipalvelukyselyiden vastausten tarkistuksen puutteellisuuteen. Jos käytetty nimipalvelu on luotettava ja varmentaa välittämänsä tiedot, ei haavoittuvuutta ole mahdollista hyväksikäyttää ympäristössä.
Haavoittuvuuden kohde
Exim sähköpostin välitysohjelmisto on hyvin laajalti käytössä ja se on oletus välitysohjelmisto esimerkiksi kaikissa Debian pohjaisissa Linux-järjestelmissä. Yksi hyvin yleinen Eximiä käyttävä ohjelmisto on cPanel sovellus, jolla voidaan ylläpitää hosting-palveluita.
Exim versiot ennen 4.96.1 ja 4.97.
Mistä on kysymys?
Exim on julkaissut osaan haavoittuvuuksista (CVE-2023-42114, CVE-2023-42115 ja CVE-2023-42116) korjaukset 2.9.2023 ja ne tulee päivittää Eximiä käyttävän ohjelmistojakelun julkaisemien ohjeiden mukaisesti mahdollisimman nopeasti.
Eximin oma jakelupiste korjauksille:
- git://git.exim.org
branches:
- spa-auth-fixes (based on the current master) [commit IDs: 7bb5bc2c6 0519dcfb5 e17b8b0f1 04107e98d]
- exim-4.96+security (based on exim-4.96) [gpg signed]
- exim-4.96.1+fixes (based on exim-4.96.1 with the fixes from exim-4.96+fixes) [gpg signed]
tags:
- exim-4.96.1 [gpg signed]
- tarballs for exim-4.96.1: https://ftp.exim.org/pub/exim/exim4/ [gpg signed]
Loput kolme haavoittuvuutta (CVE-2023-42117, CVE-2023-42118 ja CVE-2023-42219) ovat vielä selvityksen alla ja niiden osalta on mahdollista tehdä vain hyödyntämisen estäviä muita suojaustoimia.
Mitä voin tehdä?
Six 0day exploits were filed against Exim
https://www.exim.org/static/doc/security/CVE-2023-zdi.txt
ZDI-23-1468 | ZDI-CAN-17433 | CVE-2023-42114 | Exim bug 3001
https://www.zerodayinitiative.com/advisories/ZDI-23-1468/
ZDI-23-1469 | ZDI-CAN-17434 | CVE-2023-42115 | Exim bug 2999
https://www.zerodayinitiative.com/advisories/ZDI-23-1469/
ZDI-23-1470 | ZDI-CAN-17515 | CVE-2023-42116 | Exim bug 3000
https://www.zerodayinitiative.com/advisories/ZDI-23-1470/
ZDI-23-1471 | ZDI-CAN-17554 | CVE-2023-42117 | Exim Bug 3031
https://www.zerodayinitiative.com/advisories/ZDI-23-1471/
ZDI-23-1472 | ZDI-CAN-17578 | CVE-2023-42118 | Exim Bug 3032
https://www.zerodayinitiative.com/advisories/ZDI-23-1472/
ZDI-23-1473 | ZDI-CAN-17643 | CVE-2023-42219 | Exim Bug 3033
https://www.zerodayinitiative.com/advisories/ZDI-23-1473/
Debian - Information on source package exim4
https://security-tracker.debian.org/tracker/source-package/exim4
cPanel - Multiple vulnerabilities reported for Exim
https://support.cpanel.net/hc/en-us/articles/17912862078615-Multiple-vulnerabilities-reported-for-Exim