最近,Linux的邮件传输代理Exim暴露了一个远程代码执行漏洞(CVE-2019-15846),这是由于接受TLS连接导致的,这可能允许攻击者“在最初的TLS握手期间发送一个以反斜杠-null序列结尾的SNI”,从而获得对系统的root级别的访问。
Exim是一种在类Unix操作系统上使用的邮件传输代理(MTA)。Exim是根据GNU通用公共许可证(GNU General Public License)条款发布的自由软件,它的目标是成为一个通用的、灵活的邮件发送程序,具有广泛的检查传入电子邮件的功能。
Exim已被移植到大多数类Unix系统,以及使用Cygwin仿真层的Microsoft Windows。 Exim 4目前是Debian GNU/Linux系统上的默认MTA。
在英国的互联网服务提供商和大学中存在大量Exim安装。 Exim还广泛用于GNU Mailman邮件列表管理器和cPanel。
受影响的版本
- Exim<4.92.2 版本
未受影响的版本
- Exim 4.92.2
解决
目前,虽然没有公开披露,但Qualys已经描述了编写EXP的几个关键步骤,最后使用漏洞写入 /etc/passwd文件以远程获取root权限。 攻击者可以根据此编写EXP。 我们建议用户立即升级到版本4.92.2。
如果无法立即升级,建议通过exim的acl_smtp_mail配置以下规则:
对于攻击SNI,以下ACL代码段应该有效:
# to be prepended to your mail acl (the ACL referenced
# by the acl_smtp_mail main config option)
deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}
deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}