De makers van e-mailserversoftware Exim en het Zero Day Initiative (ZDI) ruziën over het oppakken en oplossen van gevonden kwetsbaarheden. Exim is an open source mail transfer agent waar 253.000 servers op internet gebruik van maken. Vorige week maakte het ZDI verschillende kwetsbaarheden in de software openbaar waardoor een aanvaller in het ergste geval de server kan overnemen. Updates zijn echter nog niet beschikbaar.

Het ZDI is onderdeel van antivirusbedrijf Trend Micro en beloont onderzoekers van het melden van onbekende kwetsbaarheden en doet hier ook zelf onderzoek naar. Vervolgens wordt bescherming tegen het beveiligingslek toegevoegd aan de producten van Trend Micro en de betreffende softwareontwikkelaar en leverancier gewaarschuwd, zodat die updates kan ontwikkelen. Voor het ontwikkelen van de patches stelt het ZDI een deadline. Afhankelijk van de impact moeten de updates binnen een bepaalde tijd zijn ontwikkeld, anders maakt het securitybedrijf de details openbaar.

Vorige week maakte het ZDI in totaal zes kwetsbaarheden in Exim openbaar waarvoor nog geen update beschikbaar is, wat Security.NL afgelopen vrijdag al meldde. Het gaat onder andere om een kritieke kwetsbaarheid waardoor remote code execution op Exim-mailservers mogelijk is. Het ZDI liet weten dat het probleem vorig jaar juni al was gemeld. Op 25 april van dit jaar vroegen de onderzoekers om een update, waarop Exim vroeg om de bugmelding opnieuw op te sturen, wat op 10 mei werd gedaan. Op 25 september vroeg het ZDI wederom of er al een update beschikbaar was en het van plan was om de kwetsbaarheid openbaar te maken, wat vorige week ook gebeurde.

Op de oss-sec mailinglist bevestigt Exim-maintainer Heiko Schlittermann dat het ZDI vorig jaar juni de bugmeldingen indiende. "We vroegen om details, maar kregen geen antwoorden waar we iets mee konden", voegt hij toe. Nadat het ZDI afgelopen mei contact opnam werd er een bugtracker voor drie van de zes problemen gestart. Inmiddels zijn drie van de beveiligingslekken verholpen, maar zijn de updates voor deze problemen nog niet openbaar gemaakt. Wat de drie overige problemen betreft zijn die volgens Schlittermann discutabel of ontbreekt de informatie om de kwetsbaarheid te verhelpen.

In een reactie op het verwijt van de Exim-maintainer stelt het ZDI dat het de ontwikkelaars meerdere keren over de bugmeldingen heeft benaderd, zonder dat er nauwelijks enige vordering bleek te zijn gemaakt. "Nadat onze deadline met meerdere maanden was overschreden hebben we de maintainer ingelicht met de intentie om deze kwetsbaarheden openbaar te maken, waarbij we kregen te horen dat we moesten doen wat we niet konden laten", aldus het ZDI. Op het moment van schrijven is Exim versie 4.96 de meest recente versie, maar updates zouden elk moment kunnen verschijnen.