Halvdelen af e-mailservere har en sårbarhed, som kan give angribere frit spillerum

Endnu en gang er der blevet fundet en meget alvorlig sårbarhed i Exim, den mest brugte e-mailsoftware i verden. Ifølge en ny undersøgelse lavet af E-Soft bruges Exim af mere end 57 procent af alle e-mailservere.

Den aktuelle sårbarhed giver angribere mulighed for at fjernkøre programmer på systemet med root-privilegier. Også i juni var der en Exim-sårbarhed, som åbnede for det samme, men enkel udnyttelse af sårbarheden dengang var afhængigt af visse ændringer i standardkonfigurationen til softwaren.

Afhænger af TLS-støtte

Sårbarheden, som nu er blevet fundet, afhænger kun af, at Exim-serveren accepterer TLS-forbindelser, og det gør de fleste formentlig.

Sårbarheden kan udnyttes ved at sende en speciel sekvens, som involverer SNI (Server Name Indication) under den indledende ‘TLS handshake’-proces. Et proof-of-concept på dette skulle være offentliggjort. Sårbarheden afhænger ikke af, hvilket af TLS-bibliotekerne GnuTLS eller OpenSSL der benyttes.

Opdatér til 4.92.2 eller nyere

Ifølge Exim-teamet er sårbarheden fjernet i version 4.92.2 af softwaren. Den findes efter sigende i alle tidligere versioner, som det nu frarådes at bruge.

Der er også angivet et par måder at forhindre udnyttelse af sårbarheden på, hvis opdatering til version 4.92.2 er uaktuelt. Den ene indebærer et par ændringer i Exims konfigurationsfiler. Den anden indebærer at deaktivere understøttelsen af TLS, hvilket ikke anbefales.

I enkelte Linux-distributioner kan sikkerhedsfikset, som er inkluderet i version 4.92.2 af Exim, blive inkluderet (‘backported’) i ældre versioner af softwaren. I sådanne tilfælde bør brugerne tjekke, om sikkerhedsfikset faktisk er en del af softwarepakken.

Artiklen er fra digi.no.