image

Onderzoeker: 400.000 mailservers lopen risico door Exim-lek

woensdag 7 maart 2018, 14:21 door Redactie, 7 reacties

400.000 mailservers lopen risico door een kwetsbaarheid in Exim, een message/mail transfer agent (MTA) voor het versturen en ontvangen van e-mail. Via het beveiligingslek kan een aanvaller zonder authenticatie op afstand willekeurige code op het systeem uitvoeren. Hiervoor hoeft een aanvaller alleen een speciaal geprepareerd bericht te versturen.

Onderzoeker Meh Chang van securitybedrijf Devcore rapporteerde het probleem op 5 februari aan de ontwikkelaars van Exim. Vijf dagen later op 10 februari verscheen Exim 4.90.1, waarin de kwetsbaarheid was gepatcht. Chang heeft nu een analyse van het beveiligingslek online gezet. Daarin stelt hij dat nog minstens 400.000 mailservers risico lopen en geeft het advies aan beheerders om meteen naar de laatste versie te upgraden.

Volgens de ontwikkelaars van Exim zou het lastig zijn om de kwetsbaarheid te misbruiken. Chang stelt in zijn analyse echter dat de bug eenvoudig is te triggeren en beschikt over een werkende exploit om dit te laten zien. Exim is onder andere in verschillende Linux-distributies aanwezig, waarin het probleem ook is gepatcht. Eind vorig jaar werd er ook al een ernstig beveiligingslek in de software ontdekt.

Reacties (7)
07-03-2018, 22:43 door Anoniem
De ontwikkelaar van Exim schrijft
we're unsure about the severity, we *believe*, an exploit
is difficult
. Dat vertalen in
Volgens de ontwikkelaars van Exim zou het lastig zijn om de kwetsbaarheid te misbruiken[/qoute] is geen passende vertaling. De ontwikkelaars twijfelen over de ernst van de situatie. Ze maken helaas niet duidelijk waar hun twijfel uit bestaat.

De ernst is afhankelijk van meerdere factoren. Een exploit schrijven kan bijvoorbeeld te moeilijk zijn voor een scriptkiddie, of iemand die het zwakke punt wel begrijpt erg veel tijd kosten om een exploit te schrijven. Maar dat hoeft het niet moeilijk te maken om een ontwikkelde exploit te kunnen gebruiken als die eenmaal geschreven is. En de ernst van de situatie kan ook afhangen van de rechten die de exploit heeft als Exim die code laat uitvoeren om iets kwaadaardigs te doen.

Over een ding zijn de ontdekker en de ontwikkelaar het eens, updaten.
08-03-2018, 07:11 door karma4
Niemand die met een reactie komt?
08-03-2018, 08:53 door Krakatau
Onderzoeker Meh Chang van securitybedrijf Devcore rapporteerde het probleem op 5 februari aan de ontwikkelaars van Exim. Vijf dagen later op 10 februari verscheen Exim 4.90.1, waarin de kwetsbaarheid was gepatcht.

Top! Binnen 5 dagen gepatcht! Het kan dus wél, snel reageren bij melding van problemen.
08-03-2018, 22:37 door karma4
Door Krakatau: ....
Top! Binnen 5 dagen gepatcht! Het kan dus wél, snel reageren bij melding van problemen.
Niet relevant wanneer een codeur een fout er uit gehaald heeft (en nieuwe geïntroduceerd heeft) .
Relevant is wanneer de laatste installatie in het veld is aangepast. . Iot dan duurt dat verrekte lang.
09-03-2018, 11:36 door Anoniem
Door karma4:
Door Krakatau: ....
Top! Binnen 5 dagen gepatcht! Het kan dus wél, snel reageren bij melding van problemen.
Niet relevant wanneer een codeur een fout er uit gehaald heeft (en nieuwe geïntroduceerd heeft) .
Relevant is wanneer de laatste installatie in het veld is aangepast. . Iot dan duurt dat verrekte lang.

als je die redenering consequent hanteert, moet je extra goed uitkijken voor oude windows installaties die aan hele dure specialistische hardware gekoppeld in productie blijft. je merkt al dat het dus toch weer genuanceerder is.
12-03-2018, 10:04 door Krakatau
Door karma4:
Door Krakatau: ....
Top! Binnen 5 dagen gepatcht! Het kan dus wél, snel reageren bij melding van problemen.
Niet relevant wanneer een codeur een fout er uit gehaald heeft (en nieuwe geïntroduceerd heeft) .
Relevant is wanneer de laatste installatie in het veld is aangepast. . Iot dan duurt dat verrekte lang.

Wat lul je nou weer karma4? De tijdlijn is:

(a) de fabrikant moet de fout in de software erkennen;
(b) de fabrikant moet de fout in de software herstellen;
(c) de installaties in het veld moeten worden gepatcht.

Stap (c) uit de tijdlijn kan pas beginnen wanneer de fabrikant klaar is met stappen (a) en (b). Sommige fabrikanten hebben daar onevenredig veel tijd voor nodig. Het gaat dan met name om fabrikanten die closed source software leveren.
17-03-2018, 09:38 door Krakatau - Bijgewerkt: 17-03-2018, 09:42
Door Anoniem:
Door karma4:
Door Krakatau: ....
Top! Binnen 5 dagen gepatcht! Het kan dus wél, snel reageren bij melding van problemen.
Niet relevant wanneer een codeur een fout er uit gehaald heeft (en nieuwe geïntroduceerd heeft) .
Relevant is wanneer de laatste installatie in het veld is aangepast. . Iot dan duurt dat verrekte lang.

als je die redenering consequent hanteert, moet je extra goed uitkijken voor oude windows installaties die aan hele dure specialistische hardware gekoppeld in productie blijft. je merkt al dat het dus toch weer genuanceerder is.

Ik was erbij toen er overgestapt werd naar Windows voor bepaalde hele dure specialistische hardware. Gezien het specifieke karakter van die hardware heeft me dat bang gemaakt, heel bang...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.