exim

Les serveurs d’email Exim vulnérables à des exécutions de code à distance

Une vulnérabilité d’exécution de code à distance à été découverte dans le logiciel libre Exim. Ce logiciel est utilisé pour mettre en place des serveurs de messagerie électronique. Plus de 500 000 serveurs d’email sont concernés par cette vulnérabilité.

Les développeurs d’Exim ont distribué la version 4.92.2 du logiciel après avoir publié une alerte il y’a quelques jours. Cette alerte prévenait les administrateurs de système de la prochaine sortie de patchs de sécurité affectant toutes les versions du logiciel jusqu’à la dernière (4.92.1).

Exim est utilisé sur de nombreux systèmes de type UNIX. La première version a été écrite en 1995 par Philip Hazel pour le service informatique de l’Université de Cambridge : le nom signifiait alors EXperimental Internet Mailer (gestionnaire de mail internet expérimental). Basé au départ sur smail, il a largement évolué pour devenir l’un des MTA(serveur de messagerie électronique) les plus flexibles et robustes.

La vulnérabilité, CVE-2019-15846, affecte seulement les serveurs Exim qui acceptent les connexions TLS, permettant potentiellement aux pirates d’obtenir un accès de niveau root au système “en envoyant un SNI se terminant par une séquence de backslash-null (\0) lors du handshake initial de TLS.”

Server Name Indication (SNI), qui peut se traduire par « indication du nom du serveur », est une extension du protocole TLS. Avec le protocole SNI, le client indique le nom de l’hôte (hostname) avec lequel il tente de démarrer une négociation TLS. Cela permet au serveur de présenter plusieurs certificats pour la même adresse IP (mais des noms d’hôte différents), et donc de mutualiser des hébergements pour des sites sécurisés en https. .

Selon l’équipe d’Exim, comme la vulnérabilité ne dépend pas de la librairie TLS utilisée par le serveur, GnuTLS et OpenSSL ne sont pas affectés.

De plus, bien que TLS ne soit pas activé dans la configuration par défaut d’Exim, certains systèmes d’exploitation incluent Exim avec la fonctionnalité vulnérable activée par défaut.

exim

La vulnérabilité a été découverte par un contributeur open source et chercheur en sécurité qui se fait appelé Zerons et a été analysé par les experts en cybersécurité de la firme Qualys.

Il y’a trois mois, Exim avait aussi patché une vulnérabilité d’exécution de commande à distance, CVE-2019-10149, qui était activement exploité par divers groupes de pirate pour compromettre les serveurs vulnérables.

Le rapport d’Exim affirme qu’un proof of concept (PoC) existe pour cette faille mais qu’aucun exploit n’est disponible au public.

Comment se protéger de cette faille d’Exim?

Il est recommandé aux administrateurs de serveur d’installer la version 4.92.2 immédiatement. Si cela n’est pas possible, vous pouvez mitigez le problème en interdisant aux serveurs non-patchés d’accepter des connexions TLS.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de