www.belgium.be Logo of the federal government

Kwetsbaarheid in Exim mailserver Advisory

Referentie: 
Advisory #2019-015
Versie: 
1.0
Geïmpacteerde software: 
Geïmpacteerde software: Exim mailserver versies 4.87 tot 4.91
Type: 
Lokale Privilege escalatie, mogelijke uitvoering van commando's op afstand (root)
CVE/CVSS: 

CVE-2019-10149, score 7.5 

Bronnen

https://www.qualys.com/2019/06/05/cve-2019-10149/return-wizard-rce-exim-abridged.txt

https://nvd.nist.gov/vuln/detail/CVE-2019-10149

Risico’s

Tijdens een code review van de laatste wijzigingen in de Exim mailserver, ontdekte Qualys een RCE-kwetsbaarheid in versie 4.87 tot en met 4.91 (inclusief).

In dit specifieke geval betekent RCE Remote *Command* Execution, niet Remote Code Execution; een aanvaller kan willekeurige commando's uitvoeren met execv() als root.

Beschrijving

Deze kwetsbaarheid in de Exim mailserver stelt een aanvaller in staat om commando's uit te voeren als root. De ernst van de kwetsbaarheid varieert afhankelijk van de configuratie van de Exim mailserver.

Deze kwetsbaarheid is direct exploiteerbaar door een lokale aanvaller. Deze kwetsbaarheid kan ook op afstand worden uitgebuit met niet-standaard configuraties. Om deze kwetsbaarheid in de standaardconfiguratie op afstand te kunnen uitbuiten, moet een aanvaller een verbinding met de server 7 dagen open houden. De programmacode van Exim is echter vrij complex en er kunnen alternatieve manieren zijn om dit te exploiteren.

Aanbevolen acties

CERT.be raadt systeembeheerders aan om dit op de voet op  te volgen.

De kwetsbaarheid in Exim 4.92 is gepatcht.  Wij raden de installatie van de laatste versie van deze software aan wanneer men nog een oudere versie gebruikt.

Referenties

https://github.com/Exim/exim/releases