6 bezpečnostních chyb v Eximu

Zero Day Initiative zveřejnila informace o 6 bezpečnostních chybách (1, 2, 3, 4, 5, 6) v MTA Exim. Nejvážnější z nich CVE-2023-42115 má CVSS 9.8. Na opravě chyb se pracuje.

Komentáře

Používá se to ještě? Docela dlouho to byl defatult v Debianu, ale já vždycky instaloval ssmtp (pro jednoduché systémy) nebo postfix (pro složitější).

Já to s tou denacifikací Slovenska myslel vážně.

30.9.2023 18:52 hm
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

nepouzivam a ani nebudu 6 dalsich duvodu proc ne tolik muj nazor

30.9.2023 22:35 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

Já instaluji všude postfix. Jakmile mám na nějakém OS odesílat emaily, tak jedině přes lokální postfix, abych měl k dispozici logy a případnou frontu, když něco zahapruje se sítí, službou apod. Postfix je naprosto nenáročný, pokud nejde o nějaký super low power účelák, tak jedině postfix.
Zdar Max

Měl jsem sen ... :(

1.10.2023 22:26 kolega
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

Me vlastne prekvapilo, jak jednoduche je provozovat postfix. Tak jako nejaky super tezky veci nedelam, ale mit SMTP server pod kontrolou je fajn.

30.9.2023 22:48 X
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

tvl, ono je to tam furt https://packages.debian.org/en/bullseye/default-mta

No, ono to nie je až také horúce, ako správička vyzerá:

+ jedna chyba je v libspf2, nie v exim (a napr. v debiane je oprava zahrnutá) + jedna chyba je v systémovom resolveri (všeobecne), nie v exim + ostatné sa týkajú autentifikátora SPA, kto ho nepoužíva, nie je dotknutý

Avšak, pravda je, že reakcia autorov exim ma zaráža, tri chyby (zo zvyšných štyroch) sú opravené, ale opravy sú prístupné len správcom balíkov v distrách. Celkovo podozrivo mlčia...

30.9.2023 19:58 X
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

Neni horuce? RCE 0day beziciho Eximu na standartnim portu 25 je docela problem a nedivim se, ze ho nechteji pustit do obehu.

1.10.2023 23:48 Slavko
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

Ak niekto označí chybu 0day a priradí jej vysoké skóre, ešte neznamená, že jej reálne riziko je skutočne také vysoké, aby každý úplne odstrihol exim.

A ak niekto odporúča zastaviť službu na porte 25/tcp kvôli zraniteľnosti v autentifikácii (a ešte NTLM) je to minimálne na zamyslenie. Jednak je port 25/tcp už roky vyhradený na komunikáciu MTA-MTA, kde autentifikácia vôbec nie je bežná a už vôbec nie z neznámych strojov a jednak, NTLM nepatrí medzi najrozšírenejšie metódy SASL ani na MSA.

Jediný skutočný problém je SPF, ale ani SPF nie je vyslovene nutné, a teda nie je dôvod na úplné zastavenie služby.

Inými slovami, ZDI chyby poriadne zveličilo, zveličenie podporilo nezmyselným odporúčaním, a ponechám na predstavivosti každého, že prečo asi bezpečnostná firma (ktorá za nimi stojí) zveličuje cudzie chyby.

Viď oficiálna reakcia exim

2.10.2023 09:34 mc
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

Chci poděkovat za tuto zprávičku a hned v ní uvedené užitečné odkazy.

Nejvíc mne trápí chyba CVE-2023-42115 dle ZDI "AUTH Out-Of-Bounds Write". Exim pak píše "Subsystem: EXTERNAL auth" a "Mitigation: Do not offer EXTERNAL authentication.". Čemu nerozumím je co je tím vlastně míněno.

Exim v Debian standardně umožňuje autentifikaci i na portu 25 po STARTTLS. To se dá vypnout třeba takto: auth_advertise_hosts = 127.0.0.0/8 : ${if eq{$received_port}{587}{*}{}}

Pak je již nabízena autentifikace pouze na portu 587 (či jiném) a není aspoň na 25, kde nevím kdo ji potřebuje. Port 587 pak mohu více omezovat na firewall.

Já jen nerozumím tomu co je "EXTERNAL authentication". Nevím co se tím myslí?

2.10.2023 17:40 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

Doménový účet? Autentikace přes rádius?

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.