欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

CVE-2019-15846: Exim TLS漏洞致远程代码执行

来源:本站整理 作者:佚名 时间:2019-09-11 TAG: 我要投稿


安全研究人员Zerons在7月份提交了该TLS漏洞,CVE编号为 CVE-2019-15846,可以在初始化握手时在backslash-null序列中发送SNI ending来利用该漏洞,成功利用该漏洞可以在邮件服务器上以root权限远程执行代码。受影响的Exim邮件传输代理(mail transfer agent,MTA)软件版本为4.80到4.92.1。
受影响的Exim版本中的SMTP Delivery进程中存在缓冲区移除漏洞。Exim公告称,在默认运行配置下,TLS协商过程中可以利用伪造的ServerName Indication (SNI)数据利用该漏洞;在其他配置下,可以用伪造的客户端TLS证书来利用该漏洞。
SNI是一个TLS协议组件,可以使服务器提供不同的TLS证书来验证和确保相同IP地址下的网站连接的安全。
TLS握手问题
Exim开发团队称如果你的Exim服务器接收TLS连接,那么就受该漏洞的影响。它并不依赖于TLS库,所以GnuTLS和OpenSSL都受到影响。Exim团队提供的默认配置文件默认是不启用TLS的,但是一些Linux发布版本中启用了。Exim开发人员Heiko Schlittermann确认说,这与配置有关。大多数版本默认是启用的,但是exim需要证书+key才能以TLS服务器工作。新版本的Exim的tls_advertise_hosts选项默认为*,如果没有提供证书的话还会创建自签名的证书。
研究人员建议服务器管理员安装最新版的Exim 4.92.2来修复CVE-2019-15846漏洞。如果没有条件更新,那么可以通过让SNI不提供TLS来预防潜在的攻击,但软件开发人员并不推荐采用这种方式。其他预防方式包括将以下规则添加到邮件ACL中:
 deny    condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}
     deny    condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}
暴露在远程代码执行攻击下的服务器
Exim是目前应用最广泛的邮件服务器,市场份额占比超过57.13%,有大约50720个Exim服务器暴漏在互联网上,并且接受连接。根据E-Soft公司的统计数据,有超过37.6万台Exim服务器运行4.92版本,只有约6400台设备运行Exim 4.92.1。


未修复的Exim服务器按国家分布
PoC和漏洞修复
Qualys研究团队称开发了PoC漏洞利用演示,用来表明该漏洞可以被利用,但也可能存在其他的漏洞方法。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载