【漏洞预警】Exim远程代码执行漏洞(CVE-2019-15846)预警通告
【漏洞预警】Exim远程代码执行漏洞(CVE-2019-15846)预警通告
预警编号:NS-2019-0035
2019-09-10
TAG: | Exim、远程代码执行、CVE-2019-15846 |
|---|---|
危害等级: | 高,攻击者利用此漏洞,可使用root权限远程执行代码。 |
版本: | 1.0 |
1
漏洞概述
近日,Linux的邮件传输代理Exim被曝出存在远程代码执行漏洞(CVE-2019-15846)。当Exim服务器接受TLS连接时,攻击者发送一个以“\0”结尾的SNI请求,可能导致攻击者以root权限远程执行任意代码。Exim默认配置不开启TLS功能,但很多用户都需要启用TLS来处理网络流量。
Exim是一款邮件传输代理软件,可实现邮件的路由、转发和投递。Exim可运行于绝大多数的类UNIX系统上,包括Solaris、AIX、Linux等,由于其具有配置灵活的特点,通常会与其他应用软件搭配使用。目前该漏洞的PoC暂未公开,请相关用户及时进行升级以防止后续的漏洞攻击。
参考链接:
http://exim.org/static/doc/security/CVE-2019-15846.txt
SEE MORE →
2影响范围
受影响版本
- Exim Version < 4.92.2
不受影响版本
- Exim Version = 4.92.2
3漏洞检测
3.1 人工检测
使用命令“exim -bV”即可查看到当前exim版本,如果我们当前的版本在受影响列表中,即可确定存在漏洞。
4漏洞防护
4.1 官方升级
目前Exim官方已在4.92.2版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:
https://ftp.exim.org/pub/exim/exim4/
集成了Exim的操作系统和应用软件也修复了该漏洞,请相关用户及时进行升级:
产品名称 | 参考链接 |
|---|---|
Ubuntu | https://usn.ubuntu.com/4124-1/ |
Debian | https://www.debian.org/security/2019/dsa-4517 |
cPanel & WHM | https://documentation.cpanel.net/display/CKB/CVE-2019-15846+Exim |
4.2 临时缓解办法
若相关用户暂时无法进行升级操作,也可向邮件访问控制列表(ACL)添加特定规则来防止此漏洞攻击。
通过exim的主配置选项acl_smtp_mail配置以下ACL规则:
# to be prepended to your mail acl (the ACL referenced# by the acl_smtp_mail main config option)deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}} |
|---|
注:配置此规则会影响TLS功能,请相关用户在操作前评估是否会对业务造成影响。
END
作者:绿盟科技安全服务部
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
腾讯云开发者
