Kritiek lek in Exim-mailservers maakt remote code execution mogelijk
In de populaire e-mailserversoftware Exim bevindt zich een kritieke kwetsbaarheid die remote code execution mogelijk maakt, waardoor een ongeauthenticeerde aanvaller de server kan overnemen, en een beveiligingsupdate is nog niet beschikbaar. Dat stelt securitybedrijf ZDI, dat Exim naar eigen zeggen vorig jaar juni over het probleem inlichtte.
De kwetsbaarheid, aangeduid als CVE-2023-42115, bevindt zich in de smtp-service en wordt veroorzaakt door onvoldoende validatie van gebruikersinvoer. Een aanvaller kan hierdoor een 'out-of-bounds write' veroorzaken die het uitvoeren van willekeurige code mogelijk maakt. De impact van het beveligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Verdere details zijn niet door het ZDI gegeven. De onderzoekers van het bedrijf stellen dat ze Exim vorig jaar juni over de kwetsbaarheid informeerden. Op 25 april van dit jaar vroegen de onderzoekers om een update, waarop Exim vroeg om de bugmelding opnieuw op te sturen, wat op 10 mei werd gedaan. Op 25 september vroeg het ZDI wederom of er al een update beschikbaar was en het van plan was om de kwetsbaarheid openbaar te maken.
Gisteren werd het bestaan van het beveiligingslek openbaar gemaakt, hoewel het ZDI geen technische details of een proof-of-concept exploit heeft gegeven waarmee misbruik mogelijk is. Aangezien er geen beveiligingsupdate beschikbaar is adviseert het securitybedrijf om de 'interactie met de applicatie' te beperken. In het verleden zijn kwetsbaarheden in Exim regelmatig gebruikt om mailservers mee aan te vallen.
Een lek van meer dan een jaar oud nog niet opgelost hebben, dan sta je wel echt gigantisch voor joker.
Ik zie niets over security patches hiervoor in het github voor Exim. Wel zijn er veel wijzigingen in documentatie, ook tamelijk recent nog: https://github.com/Exim/exim/commits/master
De gebrekkige afhandeling van de security meldingen is tragisch. Misschien zijn de berichten in een spamfolder terechtgekomen.
Leuk om dat "gebrek aan mankracht" te noemen, het laat vooral heel duidelijk zien waarom dit soort producten niet geschikt zijn om serieuze omgevingen te gebruiken. Zolang het goed gaat, gaat het goed. Maar als er problemen ontstaan ben je overgeleverd aan een hand vrijwilligers die wel of geen zin hebben om er tijd aan te besteden.
Een lek van meer dan een jaar oud nog niet opgelost hebben, dan sta je wel echt gigantisch voor joker.
neem jij je temperatuur maar even op. heel veel gebruiken postfix ipv exim tegenwoordig en heel vaak draait de exim ook nog eens dmv SELinux / apparmor afgeschermd. dat 'zo lek als een mandje' is eerder van toepassing bij https://www.security.nl/posting/812190/VS+meldt+diefstal+van+zestigduizend+e-mails+via+Exchange+Online-aanval
Leuk om dat "gebrek aan mankracht" te noemen, het laat vooral heel duidelijk zien waarom dit soort producten niet geschikt zijn om serieuze omgevingen te gebruiken. Zolang het goed gaat, gaat het goed. Maar als er problemen ontstaan ben je overgeleverd aan een hand vrijwilligers die wel of geen zin hebben om er tijd aan te besteden.
kuch: https://www.security.nl/posting/812190/VS+meldt+diefstal+van+zestigduizend+e-mails+via+Exchange+Online-aanval
Postfix wordt helemaal niet "tegenwoordig heel vaak gedraaid". Heel veel distributies zijn al jaren geleden van Postfix naar Exim geswitched.
Open source, gegarandeerd plezier voor de hacker.
Postfix wordt helemaal niet "tegenwoordig heel vaak gedraaid". Heel veel distributies zijn al jaren geleden van Postfix naar Exim geswitched.
Open source, gegarandeerd plezier voor de hacker.
printer spooler remember anyone?
Een lek van meer dan een jaar oud nog niet opgelost hebben, dan sta je wel echt gigantisch voor joker.
Ze zullen niet stil zijn, ze gaan zichzelf en andere Linux aanbidders overtuigen dat het echt niet aan Linux OS ligt.
De manier van tellen en welke definities gebruikt worden zijn hier toch wel van enig belang. Ik sluit niet uit dat "distributies" van Postfix naar Exim gewisseld zijn, maar ben niet persoonlijk op de hoogte van een voorbeeld. Het aantal "distributies" zegt echter niet zo veel, indien er maar door een handje vol servers/mensen gebruik van wordt gemaakt.
Een distributie zoals Red Hat Enterprise Linux wordt veel gebruikt in het bedrijfsleven, en die heeft bijvoorbeeld al geruime tijd geleden afscheid genomen van Exim: Why was exim removed from Red Hat Enterprise Linux 6? - https://access.redhat.com/solutions/35073 - en bied alleen Postfix en Sendmail aan, de laatste omdat er toch nogal wat legacy op dat gebied zou zijn.
Ik meen ten tijde van Debian 4, Exim gebruikt te hebben maar ben al jaren overgestapt naar Postfix omdat er toen ook een ernstig lek was die mij niet snel genoeg werdt opgepakt. Tegenwoordig biedt Debian overigens geen mailserver configuratie optie meer aan bij de installatie van het besturingssysteem, je moet dus direct zelf kiezen welke MTA je wil gaan gebruiken.
https://github.com/Exim/exim/commit/9b810c775c6e9dd1f8a87a743b943b465a1ca5a1
Postfix wordt helemaal niet "tegenwoordig heel vaak gedraaid". Heel veel distributies zijn al jaren geleden van Postfix naar Exim geswitched.
Open source, gegarandeerd plezier voor de hacker.
Appels en peren.
MS heeft snel gefixt nadat het bekend was en die hebben ook bakken aan programmeurs achter de hand.
Maar je kan daar niets zelf aan beinvloeden, ook een server herstart of switch naar bijv. postfix is niet mogelijk.
Dus moet je wachten tot MS het gefixt heeft en hopen dat dat ook daadwerkelijk in de achtergrond gefixt is.
OpenSource kan langer duren, veel leachers weinig contributors.
Maar je kan in een redelijke tijd zelf je mail server veranderen, firewall's extra dichttimmeren, andere mitigations toepassen.
En je kan in principe de bug ook zelf in de code fixen en dat commiten naar github.
MS & OpenSource, echt letterlijk alles wordt gehackt en misbruikt dus daar zit het verschil niet in.
Een lek van meer dan een jaar oud nog niet opgelost hebben, dan sta je wel echt gigantisch voor joker.
Exim heeft niks met Linux te maken maar is gewoon een open source message transfer agent (MTA). In mijn omgeving (redhat/fedora/centos/rockylinux/suse wordt altijd postfix geinstalleerd als je überhaupt een MTA nodig hebt!
Als er een probleem in Notepad++ (een populair open source pakket onder windows) zit, zegt toch ook niemand dat windows weer zo lek is als een mandje.
Jij bent duidelijk gefrustreerd dat er zo veel windowsproblemen zijn (zie iedere patch dinsdag). Waarom? Het is maar een product van een multinational. Vanwaar zo veel emotie? Wees blij dat er alternatieve wegen zijn, want een monocultuur brengt ons uiteindelijk zeker naar de afgrond.
Je frustratie over niet goed met security kunnen omgaan zit zo te zien erg hoog.
Je frustratie over niet goed met security kunnen omgaan zit zo te zien erg hoog.
Ja, leid de aandacht maar weer af van.
Microsoft.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.