Google

Vulnerabilidad en servidores Exim

Written on:September 10, 2019
Comments
Add One

Se ha descubierto una vulnerabilidad crítica de ejecución de código remoto (RCE) en los servidores de correo electrónico de código abierto EXIM, cuyo objetivo es dejar al menos más de medio millón de servidores de correo electrónico vulnerables a atacantes remotos.

Identificada como CVE-2019-15846, la vulnerabilidad solo afecta a los servidores Exim que aceptan conexiones TLS, lo que potencialmente permite a los atacantes obtener acceso de nivel root al sistema “al enviar un SNI que termina en una barra invertida durante el handshake TLS inicial”.

SNI (Sever Name Indication) es una extensión del protocolo TLS diseñado para permitir que los servidores alojen de manera segura diferentes certificados TLS para validar y asegurar la conexión a sitios web detrás de la misma dirección IP.

Se enlistan a continuación, las versiones vulnerables del software:
• Exim 4.92.1
• Servidores con GnuTLS y OpenSSL.

Se recomienda que se instale la última versión de Exim 4.92.2 ,en caso de
no poder realizar la actualización a la última versión, pueden mitigar el problema bloqueando conexiones TLS hacia servidores Exim vulnerables.

Otra forma de mitigación es agregar las siguientes reglas como parte de la ACL de correo que verifican la existencia de un peer DN o SNI que finaliza con una barra invertida y, en caso de coincidencia, la conexión se rechazaría para bloquear el vector de ataque.

Leave a Comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: