image

Exim-lek laat remote aanvallers code als root uitvoeren

vrijdag 6 september 2019, 14:38 door Redactie, 15 reacties
Laatst bijgewerkt: 06-09-2019, 15:28

In de populaire e-mailserversoftware Exim is een nieuw beveiligingslek ontdekt waardoor het mogelijk is voor aanvallers om op afstand code met rootrechten uit te voeren. Op minstens 183.000 systemen in Nederland draait een Exim-mailserver, zo meldt het Nationaal Cyber Security Centrum (NCSC).

Exim-servers die tls-verbindingen toestaan zijn kwetsbaar, zo blijkt uit een aankondiging op de Exim-mailinglist. De kwetsbaarheid kan bij het opzetten van de tls-verbinding met de mailserver worden misbruikt. Een oplossing die de aanval voorkomt is het niet aanbieden van tls, maar dit wordt door de Exim-ontwikkelaars afgeraden. Beheerders krijgen dan ook het advies om te updaten naar Exim 4.92.2 waarin het beveiligingslek is verholpen. Op dit moment zijn de ontwikkelaars nog niet bekend met exploits die van de kwetsbaarheid misbruik maken. Wel is er een rudimentaire proof-of-concept beschikbaar.

In juni werden nog duizenden mailservers via een ander beveiligingslek in Exim door een worm aangevallen. Microsoft besloot klanten die Exim op het Azure-cloudplatform draaiden voor deze worm te waarschuwen. Het NCSC stelt dat de kans aanwezig is dat kwaadwillenden op korte termijn misbruik van het lek zullen maken.

Een Canadees consultancybedrijf dat op 1 september bijna 888.000 mailservers analyseerde ontdekte dat Exim op 507.000 van de servers draaide, wat neerkomt op een aandeel van 57 procent. Van die servers waren er slechts 6471 die de meest recente Exim-versie gebruikten. Deze versie, 4.92.1, was vanwege een ander beveiligingslek in de software uitgekomen.

Reacties (15)
06-09-2019, 14:57 door Anoniem
Lijkt wel een gaten kaas.

CVE ID: CVE-2019-15846
Version(s): up to and including 4.92.1
Issue: A local or remote attacker can execute programs with root
privileges.


Waarom wordt er geen goede analyse gedaan van de source code? Dat kan toch door iedereen gedaan worden?
06-09-2019, 15:55 door Anoniem
"Van die servers waren er slechts 6471 die de meest recente Exim-versie gebruikten. "

Veel distributies backporten security fixes. Dit zegt dus weinig over de staat van de beveiliging.
06-09-2019, 17:56 door Anoniem
Door Anoniem: Lijkt wel een gaten kaas.

CVE ID: CVE-2019-15846
Version(s): up to and including 4.92.1
Issue: A local or remote attacker can execute programs with root
privileges.


Waarom wordt er geen goede analyse gedaan van de source code? Dat kan toch door iedereen gedaan worden?

Ok, laat ons weten wat je vind (nadat een fix beschikbaar is).
06-09-2019, 18:16 door Anoniem
Door Anoniem: "Van die servers waren er slechts 6471 die de meest recente Exim-versie gebruikten. "

Veel distributies backporten security fixes. Dit zegt dus weinig over de staat van de beveiliging.
Kijk, dat doet "Europa" dus ook: https://www.security.nl/posting/622960/EU+vraagt+welke+opensourcesoftware+geaudit+moet+worden
07-09-2019, 10:16 door karma4
Door Anoniem: "Van die servers waren er slechts 6471 die de meest recente Exim-versie gebruikten. "

Veel distributies backporten security fixes. Dit zegt dus weinig over de staat van de beveiliging.
En welke problemen worden er met backporten nieuw geïntroduceerd?
Iets wat onduidelijk is een samenhang -ontwerp of waarvan de backporter dat niet heeff, blijft het: "een copy … het lijkt te werken", actie. Monkey gedrag maakt het niet monkey-proof

Door Anoniem:
Door Anoniem: Lijkt wel een gaten kaas.
Waarom wordt er geen goede analyse gedaan van de source code? Dat kan toch door iedereen gedaan worden?
Ok, laat ons weten wat je vind (nadat een fix beschikbaar is).
Tja als iedereen de code kan zien wil niet zeggen dat er iemand naar gaat kijken en nog minder dat die het ook begrijpt.
Dan ga jij wijzen naar een ander totdat die het af zou hebben. Resultaat: niemand snapt de code of doet wat aan code.
07-09-2019, 10:30 door [Account Verwijderd]
The following packages will be upgraded:
exim4-base exim4-config exim4-daemon-light

De patch is er dus snel installeren!
07-09-2019, 11:37 door [Account Verwijderd] - Bijgewerkt: 07-09-2019, 11:43
Door Anoniem: Ok, laat ons weten wat je vind (nadat een fix beschikbaar is).

De fix (patch) is er. Ik heb 'm al geïnstalleerd.

Door karma4:
Door Anoniem: "Van die servers waren er slechts 6471 die de meest recente Exim-versie gebruikten. "

Door Anoniem: Waarom wordt er geen goede analyse gedaan van de source code? Dat kan toch door iedereen gedaan worden?
Tja als iedereen de code kan zien wil niet zeggen dat er iemand naar gaat kijken en nog minder dat die het ook begrijpt.

Tja, als het gemakkelijk was dan zou iedereen het kunnen.

Door karma4:
Door Anoniem: Ok, laat ons weten wat je vind (nadat een fix beschikbaar is).
Dan ga jij wijzen naar een ander totdat die het af zou hebben. Resultaat: niemand snapt de code of doet wat aan code.

De patch (Debian) is er al. Dus er zijn wel degelijk mensen die 'het snappen' en snel en adequaat reageren ook nog.
08-09-2019, 07:35 door karma4
Door En Rattshaverist:
Tja, als het gemakkelijk was dan zou iedereen het kunnen.
Het is helaas wel de promotie met open source dat iedereen goed code kan maken bruikbaar in betrouwbare systemen en dat het allemaal gratis en voor niets gedaan zal worden. Zitten ze her en de bij commercie en overheden voor budgetten.
Laten we dat verhaal nu maar eens afdoen over "als je de code kan zien dan is goed": als een commerciële framing.

Door karma4:
De patch (Debian) is er al. Dus er zijn wel degelijk mensen die 'het snappen' en snel en adequaat reageren ook nog.
Nu nog die miljoenen andere servers waar het wel geïnstalleerd is mar er geen beheer voor is. Beheer kost geld en gaat niet met gratis en voor niets zo maar vanzelf. De beheerskosten en budgetten zijn bij veel organisaties wegbezuinigd dan wel nooit opgenomen. Het is neerzetten, laten draaien en niet aankomen.
08-09-2019, 09:42 door [Account Verwijderd]
Door karma4:
Door En Rattshaverist:
Tja, als het gemakkelijk was dan zou iedereen het kunnen.
Het is helaas wel de promotie met open source dat iedereen goed code kan maken bruikbaar in betrouwbare systemen en dat het allemaal gratis en voor niets gedaan zal worden. Zitten ze her en de bij commercie en overheden voor budgetten.
Laten we dat verhaal nu maar eens afdoen over "als je de code kan zien dan is goed": als een commerciële framing.

Aluhoedje? Wat jij denkt waar te nemen speelt zich alleen tussen jouw oren af. Voor je het weet ga je tegen jezelf praten.

Door karma4:
Door karma4:
De patch (Debian) is er al. Dus er zijn wel degelijk mensen die 'het snappen' en snel en adequaat reageren ook nog.
Nu nog die miljoenen andere servers waar het wel geïnstalleerd is mar er geen beheer voor is. Beheer kost geld en gaat niet met gratis en voor niets zo maar vanzelf. De beheerskosten en budgetten zijn bij veel organisaties wegbezuinigd dan wel nooit opgenomen. Het is neerzetten, laten draaien en niet aankomen.

Jij zegt het :-) Als enige. Waarschijnlijk zijn al die servers ondertussen al lang geüpdatet.
08-09-2019, 23:37 door Anoniem
Door En Rattshaverist:

De patch (Debian) is er al. Dus er zijn wel degelijk mensen die 'het snappen' en snel en adequaat reageren ook nog.
Fout, de kwetsbaarheid is door anderen gevonden door probeersels en de mensen, waar jij naar refereert lossen alleen dat problem op. Niemand zoekt in de code naar fouten, hoe graag jij dit ook probeerd te bewijzen!
08-09-2019, 23:41 door Anoniem
Door En Rattshaverist:

Jij zegt het :-) Als enige. Waarschijnlijk zijn al die servers ondertussen al lang geüpdatet.
Jij gelooft deze domme opmerking zelf? Gaat eens met beide voeten op de echte grond staan en niet op die in jouw fantasiewereld!
09-09-2019, 09:33 door [Account Verwijderd]
Door Anoniem:
Door En Rattshaverist:

De patch (Debian) is er al. Dus er zijn wel degelijk mensen die 'het snappen' en snel en adequaat reageren ook nog.
Fout, de kwetsbaarheid is door anderen gevonden door probeersels en de mensen, waar jij naar refereert lossen alleen dat problem op. Niemand zoekt in de code naar fouten, hoe graag jij dit ook probeerd te bewijzen!

Dit is zulk slecht Nederlands dat ik eigenlijk niet begrijp wat je wilt zeggen...
09-09-2019, 14:45 door [Account Verwijderd] - Bijgewerkt: 09-09-2019, 14:47
Door Anoniem:
Door En Rattshaverist:

Jij zegt het :-) Als enige. Waarschijnlijk zijn al die servers ondertussen al lang geüpdatet.
Jij gelooft deze domme opmerking zelf? Gaat eens met beide voeten op de echte grond staan en niet op die in jouw fantasiewereld!

Ik weet dat je het graag moeilijk wil doen lijken maar dat is het toch echt niet. Update installeren, exim service herstart en klaar is Kees. Mijn broek zakt van al die figuren die hun incompetentie proberen recht te lullen door van alles een 'probleem' te maken.
10-09-2019, 15:22 door Tintin and Milou
Door En Rattshaverist:
Door Anoniem:
Door En Rattshaverist:

Jij zegt het :-) Als enige. Waarschijnlijk zijn al die servers ondertussen al lang geüpdatet.
Jij gelooft deze domme opmerking zelf? Gaat eens met beide voeten op de echte grond staan en niet op die in jouw fantasiewereld!

Ik weet dat je het graag moeilijk wil doen lijken maar dat is het toch echt niet. Update installeren, exim service herstart en klaar is Kees. Mijn broek zakt van al die figuren die hun incompetentie proberen recht te lullen door van alles een 'probleem' te maken.

https://www.security.nl/posting/623757/Criminelen+infecteren+mailservers+via+oud+Exim-lek+met+malware
Blijkbaar is het alleen wel heel lastig voor sommige. Aangezien: Nu een aantal maanden later vinden deze aanvallen nog steeds plaats.

Blijkbaar worden critical security patches NIET geïnstalleerd op internet facing servers.

Mijn broek zakt van al die figuren die zo incompetent zijn, dat ze dit soort patches missen. Meer basic beheer kan je eigenlijk niet hebben.
11-09-2019, 07:55 door [Account Verwijderd]
Door Tintin and Milou: Mijn broek zakt van al die figuren die zo incompetent zijn, dat ze dit soort patches missen. Meer basic beheer kan je eigenlijk niet hebben.

Hoe kan je dit soort patches missen? Dat kan alleen als er helemaal geen beheer plaatsvindt. Abandoned internet facing servers, daar zakt mijn broek pas echt van af :-(
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.