Kritiek lek in Exim-mailservers maakt remote code execution mogelijk
In de populaire e-mailserversoftware Exim bevindt zich een kritieke kwetsbaarheid die remote code execution mogelijk maakt, waardoor een ongeauthenticeerde aanvaller de server kan overnemen, en een beveiligingsupdate is nog niet beschikbaar. Dat stelt securitybedrijf ZDI, dat Exim naar eigen zeggen vorig jaar juni over het probleem inlichtte.
De kwetsbaarheid, aangeduid als CVE-2023-42115, bevindt zich in de smtp-service en wordt veroorzaakt door onvoldoende validatie van gebruikersinvoer. Een aanvaller kan hierdoor een 'out-of-bounds write' veroorzaken die het uitvoeren van willekeurige code mogelijk maakt. De impact van het beveligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Verdere details zijn niet door het ZDI gegeven. De onderzoekers van het bedrijf stellen dat ze Exim vorig jaar juni over de kwetsbaarheid informeerden. Op 25 april van dit jaar vroegen de onderzoekers om een update, waarop Exim vroeg om de bugmelding opnieuw op te sturen, wat op 10 mei werd gedaan. Op 25 september vroeg het ZDI wederom of er al een update beschikbaar was en het van plan was om de kwetsbaarheid openbaar te maken.
Gisteren werd het bestaan van het beveiligingslek openbaar gemaakt, hoewel het ZDI geen technische details of een proof-of-concept exploit heeft gegeven waarmee misbruik mogelijk is. Aangezien er geen beveiligingsupdate beschikbaar is adviseert het securitybedrijf om de 'interactie met de applicatie' te beperken. In het verleden zijn kwetsbaarheden in Exim regelmatig gebruikt om mailservers mee aan te vallen.
Reacties (18)
Ik weet nu al dat alle Linux fanboys die hier structureel Microsoft zitten te bashen doodstil zullen zijn. Hun geweldige paradepaardje, gratis en opensource software, blijkt weer eens zo lek als een mandje en een oplossing is niet in zicht. Leuk dat onbetaalde vrijwilligerswerk, maar daar wil je toch je business niet op draaien?
Een lek van meer dan een jaar oud nog niet opgelost hebben, dan sta je wel echt gigantisch voor joker.
Een lek van meer dan een jaar oud nog niet opgelost hebben, dan sta je wel echt gigantisch voor joker.
Exim draait al een tijdje de duimschroeven aan op dit gebied. Ik mis een beetje of deze kwetsbaarheid nog aanwezig is in de huidige versie 4.96 of de upcoming 4.97 of dat-ie niet in een oudere versie zat en dat hier "gewoon" de documentatie niet op orde is gelet op het gebrek aan mankracht in dit project.
Door Anoniem: Exim draait al een tijdje de duimschroeven aan op dit gebied. Ik mis een beetje of deze kwetsbaarheid nog aanwezig is in de huidige versie 4.96 of de upcoming 4.97 of dat-ie niet in een oudere versie zat en dat hier "gewoon" de documentatie niet op orde is gelet op het gebrek aan mankracht in dit project.
Ik zie niets over security patches hiervoor in het github voor Exim. Wel zijn er veel wijzigingen in documentatie, ook tamelijk recent nog: https://github.com/Exim/exim/commits/master
De gebrekkige afhandeling van de security meldingen is tragisch. Misschien zijn de berichten in een spamfolder terechtgekomen.
29-09-2023, 13:50 door
CorChando
Natuurlijk zit dit lek in 4.96 (en eerdere versies) en ook in 4.97. Anders had Exim allang bekend gemaakt dat het opgelost was. Tevens heeft ZDI meermaals verzocht om een update en hebben ze niets terug gehoord.
Leuk om dat "gebrek aan mankracht" te noemen, het laat vooral heel duidelijk zien waarom dit soort producten niet geschikt zijn om serieuze omgevingen te gebruiken. Zolang het goed gaat, gaat het goed. Maar als er problemen ontstaan ben je overgeleverd aan een hand vrijwilligers die wel of geen zin hebben om er tijd aan te besteden.
Leuk om dat "gebrek aan mankracht" te noemen, het laat vooral heel duidelijk zien waarom dit soort producten niet geschikt zijn om serieuze omgevingen te gebruiken. Zolang het goed gaat, gaat het goed. Maar als er problemen ontstaan ben je overgeleverd aan een hand vrijwilligers die wel of geen zin hebben om er tijd aan te besteden.
Door CorChando: Ik weet nu al dat alle Linux fanboys die hier structureel Microsoft zitten te bashen doodstil zullen zijn. Hun geweldige paradepaardje, gratis en opensource software, blijkt weer eens zo lek als een mandje en een oplossing is niet in zicht. Leuk dat onbetaalde vrijwilligerswerk, maar daar wil je toch je business niet op draaien?
Een lek van meer dan een jaar oud nog niet opgelost hebben, dan sta je wel echt gigantisch voor joker.
Een lek van meer dan een jaar oud nog niet opgelost hebben, dan sta je wel echt gigantisch voor joker.
neem jij je temperatuur maar even op. heel veel gebruiken postfix ipv exim tegenwoordig en heel vaak draait de exim ook nog eens dmv SELinux / apparmor afgeschermd. dat 'zo lek als een mandje' is eerder van toepassing bij https://www.security.nl/posting/812190/VS+meldt+diefstal+van+zestigduizend+e-mails+via+Exchange+Online-aanval
Door CorChando: Natuurlijk zit dit lek in 4.96 (en eerdere versies) en ook in 4.97. Anders had Exim allang bekend gemaakt dat het opgelost was. Tevens heeft ZDI meermaals verzocht om een update en hebben ze niets terug gehoord.
Leuk om dat "gebrek aan mankracht" te noemen, het laat vooral heel duidelijk zien waarom dit soort producten niet geschikt zijn om serieuze omgevingen te gebruiken. Zolang het goed gaat, gaat het goed. Maar als er problemen ontstaan ben je overgeleverd aan een hand vrijwilligers die wel of geen zin hebben om er tijd aan te besteden.
Leuk om dat "gebrek aan mankracht" te noemen, het laat vooral heel duidelijk zien waarom dit soort producten niet geschikt zijn om serieuze omgevingen te gebruiken. Zolang het goed gaat, gaat het goed. Maar als er problemen ontstaan ben je overgeleverd aan een hand vrijwilligers die wel of geen zin hebben om er tijd aan te besteden.
kuch: https://www.security.nl/posting/812190/VS+meldt+diefstal+van+zestigduizend+e-mails+via+Exchange+Online-aanval
29-09-2023, 14:27 door
CorChando
Gelukkig heeft Microsoft het na het bekend worden wel direct opgelost, daar hoefde je als gebruiker geen 1,5 jaar of langer op te wachten.
Postfix wordt helemaal niet "tegenwoordig heel vaak gedraaid". Heel veel distributies zijn al jaren geleden van Postfix naar Exim geswitched.
Open source, gegarandeerd plezier voor de hacker.
Postfix wordt helemaal niet "tegenwoordig heel vaak gedraaid". Heel veel distributies zijn al jaren geleden van Postfix naar Exim geswitched.
Open source, gegarandeerd plezier voor de hacker.
Door CorChando: Gelukkig heeft Microsoft het na het bekend worden wel direct opgelost, daar hoefde je als gebruiker geen 1,5 jaar of langer op te wachten.
Postfix wordt helemaal niet "tegenwoordig heel vaak gedraaid". Heel veel distributies zijn al jaren geleden van Postfix naar Exim geswitched.
Open source, gegarandeerd plezier voor de hacker.
Postfix wordt helemaal niet "tegenwoordig heel vaak gedraaid". Heel veel distributies zijn al jaren geleden van Postfix naar Exim geswitched.
Open source, gegarandeerd plezier voor de hacker.
printer spooler remember anyone?
Jammer van de MS vs OSS flameware in de comment panelen. Dit is natuurlijk gewoon erg jammer dat zo'n exploit een jaar of langer niet gepatched wordt. Ook zijn gigantisch veel appliances (SOphos, Juniper, enz) die vaak ook dit soort opensource spul draaien. En die krijgen niet altijd netjes hun firmware op tijd. Ook NAS servers, camera's die mails kunnen versturen, enz enz - allemaal stuk. Zware klus!
Door CorChando: Ik weet nu al dat alle Linux fanboys die hier structureel Microsoft zitten te bashen doodstil zullen zijn. Hun geweldige paradepaardje, gratis en opensource software, blijkt weer eens zo lek als een mandje en een oplossing is niet in zicht. Leuk dat onbetaalde vrijwilligerswerk, maar daar wil je toch je business niet op draaien?
Een lek van meer dan een jaar oud nog niet opgelost hebben, dan sta je wel echt gigantisch voor joker.
Ik ben erachter dat als het een niet distri product is dat het door de softwareontwikkelaar komt en niet door instellingen van de Linux OS. Als dit onder Windows gebeurd maakt het niet uit, het ligt dan altijd aan Microsoft.Een lek van meer dan een jaar oud nog niet opgelost hebben, dan sta je wel echt gigantisch voor joker.
Ze zullen niet stil zijn, ze gaan zichzelf en andere Linux aanbidders overtuigen dat het echt niet aan Linux OS ligt.
Door CorChando: Postfix wordt helemaal niet "tegenwoordig heel vaak gedraaid". Heel veel distributies zijn al jaren geleden van Postfix naar Exim geswitched.
De manier van tellen en welke definities gebruikt worden zijn hier toch wel van enig belang. Ik sluit niet uit dat "distributies" van Postfix naar Exim gewisseld zijn, maar ben niet persoonlijk op de hoogte van een voorbeeld. Het aantal "distributies" zegt echter niet zo veel, indien er maar door een handje vol servers/mensen gebruik van wordt gemaakt.
Een distributie zoals Red Hat Enterprise Linux wordt veel gebruikt in het bedrijfsleven, en die heeft bijvoorbeeld al geruime tijd geleden afscheid genomen van Exim: Why was exim removed from Red Hat Enterprise Linux 6? - https://access.redhat.com/solutions/35073 - en bied alleen Postfix en Sendmail aan, de laatste omdat er toch nogal wat legacy op dat gebied zou zijn.
Ik meen ten tijde van Debian 4, Exim gebruikt te hebben maar ben al jaren overgestapt naar Postfix omdat er toen ook een ernstig lek was die mij niet snel genoeg werdt opgepakt. Tegenwoordig biedt Debian overigens geen mailserver configuratie optie meer aan bij de installatie van het besturingssysteem, je moet dus direct zelf kiezen welke MTA je wil gaan gebruiken.
Er is een wijziging geweest van de AUTH code (b64decode) op 1 september 2023 in de master op github.
https://github.com/Exim/exim/commit/9b810c775c6e9dd1f8a87a743b943b465a1ca5a1
https://github.com/Exim/exim/commit/9b810c775c6e9dd1f8a87a743b943b465a1ca5a1
Door CorChando: Gelukkig heeft Microsoft het na het bekend worden wel direct opgelost, daar hoefde je als gebruiker geen 1,5 jaar of langer op te wachten.
Postfix wordt helemaal niet "tegenwoordig heel vaak gedraaid". Heel veel distributies zijn al jaren geleden van Postfix naar Exim geswitched.
Open source, gegarandeerd plezier voor de hacker.
Postfix wordt helemaal niet "tegenwoordig heel vaak gedraaid". Heel veel distributies zijn al jaren geleden van Postfix naar Exim geswitched.
Open source, gegarandeerd plezier voor de hacker.
Appels en peren.
MS heeft snel gefixt nadat het bekend was en die hebben ook bakken aan programmeurs achter de hand.
Maar je kan daar niets zelf aan beinvloeden, ook een server herstart of switch naar bijv. postfix is niet mogelijk.
Dus moet je wachten tot MS het gefixt heeft en hopen dat dat ook daadwerkelijk in de achtergrond gefixt is.
OpenSource kan langer duren, veel leachers weinig contributors.
Maar je kan in een redelijke tijd zelf je mail server veranderen, firewall's extra dichttimmeren, andere mitigations toepassen.
En je kan in principe de bug ook zelf in de code fixen en dat commiten naar github.
MS & OpenSource, echt letterlijk alles wordt gehackt en misbruikt dus daar zit het verschil niet in.
Door CorChando: Ik weet nu al dat alle Linux fanboys die hier structureel Microsoft zitten te bashen doodstil zullen zijn. Hun geweldige paradepaardje, gratis en opensource software, blijkt weer eens zo lek als een mandje en een oplossing is niet in zicht. Leuk dat onbetaalde vrijwilligerswerk, maar daar wil je toch je business niet op draaien?
Een lek van meer dan een jaar oud nog niet opgelost hebben, dan sta je wel echt gigantisch voor joker.
Zo dom om alles op 1 hoop te gooien en je er dan ook nog niet eens in verdiepen is echt een plaag van de laatste jaren.Een lek van meer dan een jaar oud nog niet opgelost hebben, dan sta je wel echt gigantisch voor joker.
Exim heeft niks met Linux te maken maar is gewoon een open source message transfer agent (MTA). In mijn omgeving (redhat/fedora/centos/rockylinux/suse wordt altijd postfix geinstalleerd als je überhaupt een MTA nodig hebt!
Als er een probleem in Notepad++ (een populair open source pakket onder windows) zit, zegt toch ook niemand dat windows weer zo lek is als een mandje.
Jij bent duidelijk gefrustreerd dat er zo veel windowsproblemen zijn (zie iedere patch dinsdag). Waarom? Het is maar een product van een multinational. Vanwaar zo veel emotie? Wees blij dat er alternatieve wegen zijn, want een monocultuur brengt ons uiteindelijk zeker naar de afgrond.
01-10-2023, 15:52 door
Benito Herrera
er is geen weldenkend mens meer die nog inferieure troep van Microsoft draait! ik ken er in ieder geval geen en het verbaast me steeds weer dat er hier - het is is nota bene een security forum - blijkbaar nog Microsoft gebruikers zitten (die de baggerzooi nog verdedigen ook)
01-10-2023, 19:25 door
karma4
Door Benito Herrera: er is geen weldenkend mens meer die nog inferieure troep van Microsoft draait! ik ken er in ieder geval geen en het verbaast me steeds weer dat er hier - het is is nota bene een security forum - blijkbaar nog Microsoft gebruikers zitten (die de baggerzooi nog verdedigen ook)
Het gaat hier linux bagger exim in het artikel. Je frustratie over niet goed met security kunnen omgaan zit zo te zien erg hoog.
02-10-2023, 12:06 door
Benito Herrera
Door karma4:
Je frustratie over niet goed met security kunnen omgaan zit zo te zien erg hoog.
Door Benito Herrera: er is geen weldenkend mens meer die nog inferieure troep van Microsoft draait! ik ken er in ieder geval geen en het verbaast me steeds weer dat er hier - het is is nota bene een security forum - blijkbaar nog Microsoft gebruikers zitten (die de baggerzooi nog verdedigen ook)
Het gaat hier linux bagger exim in het artikel. Je frustratie over niet goed met security kunnen omgaan zit zo te zien erg hoog.
Ja, leid de aandacht maar weer af van.
Microsoft.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
