Sårbarheter i e-posttjeneren Exim

Publisert: 27.11.2017

NSM NorCERT ønsker å varsle om to sårbarheter i Exim[1]. Exim er en e-posttjener som primært er brukt på Unix-liknende (Linux, BSD, etc) operativsystemer. En nyere undersøkelse indikerer at Exim brukes på mer enn 50% av verdens e-posttjenere.

Berørte produkter:
- - Exim versjon 4.88 eller høyere.

Sårbarheten[2][3] fører til at en angriper kan kjøre vilkårlig kode
eller utføre tjenestenekt-angrep mot tjenesten. Det er kommet en
en kildekode-fiks fra utviklerne, men fram til patchede pakker er
sårbarheten kan mitigeres.

Sårbarheten utnytter BDAT-verbet i ESMTP CHUNKING-utvidelsen som ble
inkludert fra og med Exim 4.88. Sårbarheten kan mitigeres ved å ikke
annonsere støtte for denne utvidelsen ved å sette
"chunking_advertise_hosts" til en tom verdi i konfigurasjonen[2][3]:

chunking_advertise_hosts =

Man kan sjekke om en sårbar Exim e-posttjener har CHUNKING aktivert
ved å koble til en e-posttjenerer og sjekke hvilke utvidelser som
annonseres etter EHLO. Dersom CHUNKING er blant SMTP-utvidelsene
som annonseres er tjeneren sårbar. Dersom utvidelsen ikke annonseres
vil Exim nekte klienter å bruke BDAT-verbene.

CVE-referanse(r):
- - CVE-2017-16943 [4][5]
- - CVE-2017-16944 [6][7]

Anbefalte tiltak:
NorCERT anbefaler at man utfører mitigeringen som beskrevet på
Exims e-postlister[2] for de systemer som ikke har oppgraderinger
tilgjengelig. NorCERT anbefaler deretter å oppgradere til patchede
versjoner av Exim når disse blir tilgjengelige. Vær klar over at
noen Linux-distribusjoner hurtig-fikser sårbarheten ved å oppdatere
konfigurasjonsfilene til å inkludere mitigeringen. Det anbefales å
bekrefte at e-posttjeneren ikke lenger annonserer CHUNKING etter
oppgradering til til en slik pakke eller egen mitigering.

NorCERT er ikke kjent med aktiv utnyttelse av sårbarhetene,
men det er publisert proof-of-concept-kode. NorCERT velger å
heve NorCERT-pulsen til nivå 2.

Kilder:
[1] http://www.exim.org/
[2] https://lists.exim.org/lurker/message/20171125.034842.d1d75cac.en.html
[3] http://www.openwall.com/lists/oss-security/2017/11/25/2
[4] https://nvd.nist.gov/vuln/detail/CVE-2017-16943
[5] https://security-tracker.debian.org/tracker/CVE-2017-16943
[6] https://nvd.nist.gov/vuln/detail/CVE-2017-16944
[7] https://security-tracker.debian.org/tracker/CVE-2017-16944