Onderzoeker waarschuwt voor 400.000 kwetsbare mailservers door lek in Exim

Een beveiligingsonderzoeker waarschuwt dat 400.000 mailservers kwetsbaar zijn door een lek in de mail transfer agent Exim. Er is al een patch beschikbaar voor het lek dat het op afstand uitvoeren van code mogelijk maakt.

Onderzoeker Meh Chang schrijft in een blogpost dat het noodzakelijk is om een update uit te voeren als er sprake is van een kwetsbare versie van Exim. Dat zijn alle versies lager dan 4.90.1, waarin de Exim-ontwikkelaars een patch hebben geïntroduceerd nadat de onderzoeker het lek op 5 februari heeft gemeld. Dat is op het moment van schrijven de meest recente versie van de software.

De kwetsbaarheid met kenmerk CVE-2018-6789 maakt het volgens de onderzoeker mogelijk om op afstand zonder authenticatie code uit te voeren. In de blogpost beschrijft hij een exploit die zich richt op de smtp-daemon van Exim via een buffer overflow.

De ontwikkelaars van Exim hebben een eigen bericht aan de kwetsbaarheid gewijd. Daarin schrijven ze dat ze niet zeker weten hoe ernstig het lek is, maar dat ze 'geloven dat het uitvoeren van een exploit moeilijk is'. Er zou geen mitigation bekend zijn. De details van het lek kwamen eerder in januari al aan het licht.

Exim is een zogenaamde mta, oftewel een mail transfer agent, voor Unix-achtige besturingssystemen. De opensourcesoftware kwam voor het eerst in 1995 uit en draait volgens een Securityspace-rapport van 1 maart op meer dan de helft van bijna een miljoen gescande mailservers.

IT-banen

Reacties (28)

nassau 7 maart 2018 17:01

Exim4 is al een maand geleden gepatched op Debian voor dit issue: https://security-tracker.debian.org/tracker/CVE-2018-6789

Ubuntu trouwens ook https://people.canonical....e/2018/CVE-2018-6789.html

Merk op dat je alleen vulnerable bent als je exim4 gebruikt om mail te ontvangen vanaf een publieke poort. Ik gebruik exim4 vaak als send-only mailer en stuur door naar een smart host (in ons geval google apps). Dan ben je zowiezo niet kwetsbaar, anders even zorgen dat je up-to-date bent met je patches.

gekkie @nassau • 7 maart 2018 17:09

Voor send-only gebruik ik zelf vaak nullmailer uiterst simpel en dom, enige jammere is dat de laatste versie een dependency op systemd heeft gekregen.

webkiller71 @gekkie • 7 maart 2018 17:37

Kun je aangeven wat die dependency op systemd is? Enige dat ik zie in http://untroubled.org/nullmailer/ChangeLog is dat ze een systemd service file meeleveren. https://github.com/bruceg...&type=Code&utf8=%E2%9C%93 geeft ook niet echt iets zinnigs.

gekkie @webkiller71 • 7 maart 2018 17:43

Upstream zou op systemd als init dependen voor enige daemon functionaliteit, maar Debian lijkt het "gefixt" te hebben zie ik nu: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=886121 , straks maar eens kijken of ik kan upgraden op de laptop

.

Edit: Ah nieuwe package zit alleen nog in experimental, nog maar even wachten tot hij wordt doorgezet naar unstable en testing.

[Reactie gewijzigd door gekkie op 26 juli 2024 16:13]

Gomez12 @nassau • 7 maart 2018 23:48

Merk op dat je alleen vulnerable bent als je exim4 gebruikt om mail te ontvangen vanaf een publieke poort. Ik gebruik exim4 vaak als send-only mailer en stuur door naar een smart host (in ons geval google apps). Dan ben je zowiezo niet kwetsbaar, anders even zorgen dat je up-to-date bent met je patches.

Hierbij moet je wel even opletten of je het niet zo gebruikt of dat je het echt hebt dichtgezet.

Dat je het niet zo gebruikt (omdat bijv je firewall geen poort 25 doorlaat) zegt vrij weinig, genoeg malware gaat hier zelf naar op zoek en werkt gewoon via een niet-publieke poort als het eenmaal achter de firewall is beland. Oftewel controleer wel even of het echt dicht staat geconfigureerd als je het niet wenst te patchen....

nassau @Gomez12 • 8 maart 2018 09:21

Eens! Maar waarom zou je niet patchen, de packages zijn al weken beschikbaar.

Gomez12 @nassau • 8 maart 2018 09:42

Ik kan me wel enkele redenen bedenken om niet te patchen (veelal gebaseerd op te weinig onderhoud waardoor er in 1x meerdere versies omhoog gegaan moet worden en bepaalde functionaliteit obsolete geworden is etc)

Maar jij hebt het over wanneer je vulnerable bent, daar is enkel sprake van als je niet patched. Als je gewoon patched dan ben je ook niet meer vulnerable

Accretion @Gomez12 • 8 maart 2018 12:44

Als je niet vulnerable bent, kun je nog steeds functionaliteiten uitschakelen om te voorkomen dat je in de toekomst (weer) vulnerable wordt.

Blokker_1999

Netwerk en systeembeheer
Security

7 maart 2018 16:43

draait volgens een Securityspace-rapport van 1 maart op meer dan de helft van bijna een miljoen gescande mailservers.

Die verbaasd me wel. Exim is een default op Debian achtigen en wordt daar standaard mee geïnstalleerd maar heb al meermaals gehoord dat als je het voor meer dan de interne mailing van het OS wenst te gebruiken dat je beter naar een Postfix of consoorten kan overstappen omdat Exim bedoeld is als lichtgewicht, kleinschalige server

gekkie @Blokker_1999 • 7 maart 2018 17:01

Ik heb postfix geprobeerd, maar kreeg bepaalde constructies toch niet aan de praat.
Configuratie van exim kan wel een beest zijn, maar ook wel erg flexibel.

Overigens zegt het versie nummer controleren niet alles, bijvb in het geval van Debian stable waarbij de patch gebackport is naar de versie van Debian stable, zoals met deze patch op 10 feb gebeurd is:
exim4 (4.89-2+deb9u3) changelog

[Reactie gewijzigd door gekkie op 26 juli 2024 16:13]

begintmeta @gekkie • 7 maart 2018 17:04

Ik ben op zich benieuwd wat je met postfix niet aan de praat krijgt.

gekkie @begintmeta • 7 maart 2018 17:08

Poeh is al weer een tijd geleden, meende dat het de injectie van mail binnengeslurpt van andere mailservers via getmail was, wat vervolgens langs spamfilter en virusscanner etc. mag om vervolgens richting dovecot LDA te gaan.
Uiteindelijk kreeg ik het niet aan elkaar geknoopt en bleek de configuratie van postfix ook niet zo makkelijk te zijn (voor eenvoudige standaard setups overigens wel). Vervolgens eens de exim config specs goed doorgeplozen en dat draait nu al een paar jaar naar te vredenheid zonder al te veel aanpassingen.

MadEgg @gekkie • 7 maart 2018 17:36

Klinkt allemaal als geen probleem met Postfix. Ik wil niet beweren dat de configuratie doodeenvoudig is, maar wel uitermate flexibel. Je kunt alle mails doorsturen via andere services om ze weer terug te krijgen, ingebouwde én custom filters toepassen en weet ik wat al niet meer. Ik denk dat je niet hard genoeg geprobeerd met met Postfix, want ik kan me niet voorstellen dat er iets is wat niét kan met Postfix.

gekkie @MadEgg • 7 maart 2018 17:38

Zoals gezegd weet ik het hele specifieke punt waar ik op vast liep niet meer. In iedergeval had ik het met de docs van exim sneller uitgevogeld dan met postfix, waarbij de config van postfix er uiteindelijk ook niet echt florisant meer uitzag. Dus ik heb een overstap van exim naar postfix uiteindelijk maar afgeblazen.

kozue @gekkie • 7 maart 2018 18:12

In de opensource wereld moet je sowieso niet naar versienummers kijken voor het bepalen van lekken. Zelfs grote bedrijven snappen dat niet, zoals die suffe PCI-compliancy scans die vrolijk melden dat we een nieuwere versie van openssh moeten gebruiken omdat het versie 7.3 aangeeft, waar “known vulnerabilities” in zouden zitten. Maar het is de default package van Ubuntu, dus die lekken zijn allang al gepatched en gebackport. Zelf een losse 7.6 in elkaar knutselen zou juist lekken opleveren, want die krijgt na installatie toch nooit meer upgrades, terwijl Ubuntu hun patches netjes bijhoudt.

gekkie @kozue • 7 maart 2018 18:24

Mjah dan heb je inderdaad niet helemaal het distro concept van stable releases gesnapt, wel suf dat ze daar in een compliancy scan geen rekening houden. Weet je de waarde daar ook weer van als dat door een stel beancounters is opgesteld.

Gomez12 @kozue • 7 maart 2018 23:54

De oorzaak hiervan is niet de compliancy scan, maar meer Ubuntu.

Versie 7.3 blijft net zo lek met known vulnerabilities.
Versie 7.3 + aanpassingen van Ubuntu daar zou imho Ubuntu gewoon iets van 7.3U1 oid van moeten maken dan is het simpel en duidelijk.

7.3U1 is dan qua security het equivalent van 7.6 alleen qua opties niet.
7.3 is echter qua security totaal niet het equivalent van 7.6 ongeacht of deze op Ubuntu of wat dan ook geinstalleerd is. Want je weet niet of de distro waar iemand zijn packages vandaan trekt wel voldoende up-to-date is.

gekkie @Gomez12 • 8 maart 2018 09:36

Net zoals je niet weet of een nieuwere versie van een package, met over het algemeen meer en nieuwere functionaliteit en/of code, niet meet issues bevat dan de oudere versie. Een van de ideeen achter stable (naast dat stable versies het makkelijker maakt om patches uit te rollen omdat er doorgaans niet aan de config hoeft te worden gewijzigd en de code behalve het specifieke issue, nog gewoon hetzelfde is en hetzelfde werkt).

Daarnaast zie ik niet hoe 7.3U1 zou impliceren dat het qua security equivalent zou zijn aan 7.6... waarom immers niet aan 7.5, 7,4, 7.3999999999 ?

Er zijn altijd wel uitzonderingen te verzinnen op elk nummer schema.

welmers @Blokker_1999 • 7 maart 2018 17:39

Ik begin het gevoel te krijgen dat Postfix last krijgt van z'n leeftijd. Ik moest laatst SRS installeren (ivm SPF) maar dat werkt allemaal toch maar matig, je loopt tegen interne structuren aan die in beton gegoten zijn.

Ik gebruik overigens al sinds 2001 Postfix, over het algemeen naar tevredenheid. Ik begrijp dat Exim tegenwoordig ook prima geschikt is voor serieuze mailvolumes, en flexibeler configureerbaar is. Misschien is het de overstap waard.

begintmeta @welmers • 7 maart 2018 18:03

Ik begin het gevoel te krijgen dat Postfix last krijgt van z'n leeftijd. ... Ik begrijp dat Exim tegenwoordig ook prima geschikt is voor serieuze mailvolumes, en flexibeler configureerbaar is. Misschien is het de overstap waard.

Als de problemen inderdaad door de leeftijd zouden worden veroorzaakt, en niet door bijvoorbeeld ontwerpkeuzes, zou een overstap naar exim niet zo zinvol zijn natuurlijk.

Olaf van der Spek @Blokker_1999 • 7 maart 2018 16:51

Waarom dan?
Exim werkt hier al jeren prima voor 'internet' email..

CAPSLOCK2000

Security
Netwerk en systeembeheer

@Blokker_1999 • 7 maart 2018 16:58

Die verbaasd me wel. Exim is een default op Debian achtigen en wordt daar standaard mee geïnstalleerd maar heb al meermaals gehoord dat als je het voor meer dan de interne mailing van het OS wenst te gebruiken dat je beter naar een Postfix of consoorten kan overstappen omdat Exim bedoeld is als lichtgewicht, kleinschalige server

Hoeveel mensen doen nu echt?
Volgens mij een klein deel. Per organisatie heb je misschien een hand vol mailservers op een hele zaal vol servers. Als je mail uberhaupt nog lokaal staat en niet in de cloud. De meeste systemen die uberhaupt iets met mail doen zijn vrij simpel. In de meeste gevallen is er niet meer nodig dan af een toe een mailtje aan de systeembeheerder sturen. In dat soort gevallen voldoet Exim prima.
Exim is overigens super flexibel en voldoende krachtig om in vrijwel alle voorstelbare gevallen te voldoen. Wel vind ik zelf Postfix vaak wat makkelijker te begrijpen en ik geloof dat anderen daar ook zo over denken.

Eigenlijk is Exim niet zo zeer een mailserver als wel een Domain Specific Language om mailservers mee te programmeren. Het grootste deel van de werking zit in de configuratie-scripts en die kun je zo gek of zo simpel maken als je wil. In praktijk willen de meeste mensen dat alleen niet.

PizZa_CalZone @Blokker_1999 • 7 maart 2018 17:05

Als we het over de default op "Debian achtigen" hebben, kan ik me zo voorstellen dat dit juist de reden is dat het zoveel voorkomt. Ik ken de cijfers niet, maar vermoedelijk is dit de meest gebruikte linux smaak. Ik verbaasde me ook over de hoeveelheid exim servers. Ik heb er ooit eens iets over gehoord, maar wij gebruiken o.a. postfix. Had niet verwacht dat exim zo populair was.

Dorank @Blokker_1999 • 7 maart 2018 17:24

dat je beter naar een Postfix of consoorten kan overstappen omdat Exim bedoeld is als lichtgewicht, kleinschalige server

Of je installeer exim4-deamon-heavy

Exim t.o.v. Postfix is dezelfde discussie als vim v.s. emacs.
Je kan met al deze producten alles bereiken wat je wil, gebruik gewoon wat je eigen voorkeur heeft.

kozue @Blokker_1999 • 7 maart 2018 18:06

Geen idee waarom je dat denkt. Ik ken niet alle verschillen tussen de 2 maar exim kan alles wat we van een mail server willen. Mail filtering op bijna alles wat je kunt bedenken (spf, dkim, spamassassin, attachement extensies, etc) en flexibele routering voor complexe setups.

Wij gebruiken exim als onze hoofdmailer en postfix als lightweight send-only mta op applicatieservers en dat werkt prima. Allebei onder Ubuntu dus dit lek hebben we geen last van want die is al gepatched

Firedragon @Blokker_1999 • 7 maart 2018 23:09

[...]
Die verbaasd me wel. Exim is een default op Debian achtigen en wordt daar standaard mee geïnstalleerd maar heb al meermaals gehoord dat als je het voor meer dan de interne mailing van het OS wenst te gebruiken dat je beter naar een Postfix of consoorten kan overstappen omdat Exim bedoeld is als lichtgewicht, kleinschalige server

Heb hier meerdere debian based systemen draaien niet 1 heeft bij default exim geinstalleerd staan.

welmers 7 maart 2018 17:31

Dat alle Exim versies onder 4.90.1 per definitie vulnerable zijn, klopt niet voor Linux distro's waar security fixes gebackport worden. Op de laatste Debian 9 draait 4.89-2+deb9u3. Volgens https://security-tracker.debian.org/tracker/CVE-2018-6789 is deze versie gepatcht van deze vulnerability. Dit zal analoog opgaan voor Red hat, Ubuntu etc.

Hendrik53 10 maart 2018 00:16

Volgens mij wordt EXIM standaard geïnstalleerd op alle web servers met Direct Admin.
Probleem?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (28)

Sorteer op:

Weergave: