Sårbarhet i Exim (uppdaterad)

En sårbarhet har upptäckts i flera versioner av e-posttjänsten Exim. Sårbarheten avser Exim version 4.87 till och med 4.91. [1]

Sårbarheten kan utnyttjas av en lokal angripare för att köra godtyckliga kommandon, och av en extern angripare om Exim är konfigurerad på annat sätt än standard. Det är även möjligt att fjärrutnyttja sårbarheten om Exim är standardkonfigurerat, detta genom att upprätthålla en förbindelse till en server i sju dagar och föra över en byte data i intervaller om några minuter. Det kan också finnas snabbare tillvägagångssätt. [2]

Följande konfigurationer, som avviker från standard, ska enligt Qualys vara lätta att fjärrutnyttja:

• Om "verify = recipient" ACL har inaktiverats manuellt, exempelvis för att förhindra enumerering av användarnamn via RCPT TO.

• Om Exim är konfigurerat att identifiera taggar i den lokala delen av en e-postadress (dvs. före @) via ändringar i local_part_suffix.

• Om Exim är konfigurerat att vidaresända (relaya) e-post till en annan extern domän (som sekundär MX).

Ytterligare tekniska detaljer om sårbarheten är tillgängliga i Qualys Security Advisory.

CERT-SE rekommenderar systemadministratörer att uppdatera sårbar programvara snarast möjligt, patchar är tillgängliga för de flesta Linux-distributioner.

Tekniska detaljer om sårbarheten har publicerats, vilket är något som underlättar exploatering.

Sårbarheten har 9.8 på den 10-gradiga CVSS 3.0 "Base Metrics"-skalan. [3]

Uppdatering: CERT-SE har tagit del av flera rapporter om att sårbarheten nu utnyttjas aktivt. [4]

Sårbara system

Exim version 4.87 till och med 4.91

Rekommendationer

CERT-SE rekommenderar att uppdatera till Exim 4.92

Källor

[1] https://www.exim.org/static/doc/security/CVE-2019-10149.txt
[2] https://www.qualys.com/2019/06/05/cve-2019-10149/return-wizard-rce-exim.txt
[3] https://nvd.nist.gov/vuln/detail/CVE-2019-10149
[4] https://blogs.technet.microsoft.com/msrc/2019/06/14/prevent-the-impact-of-a-linux-worm-by-updating-exim-cve-2019-10149/