[NorCERT-varsel] Sårbarhet i Exim

NSM NorCERT ønsker å informere om en sårbarhet i flere versjoner av 

e-posttjeneren Exim [1]. Sårbarheten åpner for kjøring av vilkårlige

kommandoer i Exim-versjoner 4.87 til og med 4.91.

Sårbarheten er tildelt CVE-nummer CVE-2019-10149.

Sårbarheten kan utnyttes umiddelbart av en lokal angriper, og av en ekstern

angriper dersom Exim er konfigurert på en ikke-standard måte. Det er også

mulig å fjernutnytte sårbarheten selv om Exim er standardkonfigurert. Dette

kan gjøres ved å opprettholde en forbindelse til en server i syv dager ved å

overføre én og én byte med minutters intervall. Raskere metoder kan eksistere.

Følgende ikke-standard konfigurasjoner skal være lett å fjernutnytte:

  * Hvis "verify = recipient" ACL har blitt fjernet manuelt, f.eks. for å

    hindre enumerering av brukernavn via RCPT TO.

  * Hvis Exim er konfigurert til å kjenne igjen tags (+) i den lokale delen av

    en e-postadresse (før @) via endringer i local_part_suffix.

  * Hvis Exim er konfigurert til å videresende (relaye) e-post til et annet

    eksternt domene (som sekundær MX).

Flere tekniske detaljer rundt sårbarheten er tilgjengelige i Qualys Security

Advisory [2].

NorCERT anbefaler systemadministratorer å oppdatere sårbar programvare så

snart det lar seg gjøre, ettersom patcher er tilgjengelige for de fleste 

populære Linux-distribusjoner. 

NorCERT er ikke kjent med aktiv utnyttelse av sårbarheten, men detaljert

teknisk informasjon om sårbarheten er publisert og vil forenkle utnyttelse.

Referanser:

[1] https://www.exim.org/static/doc/security/CVE-2019-10149.txt

[2] https://www.qualys.com/2019/06/05/cve-2019-10149/return-wizard-rce-exim.txt