Nein, ich weiß auch nicht mehr als Ihr, auch wenn es mal wieder um Exim geht. Details sind nur spärlich zu haben.
6x 0-Day in Exim Mailserver
Mitte 2022 wurde von Trend Micro an das Exim Team eine Liste von 6 Lücken gemeldet, von denen jetzt 3 soweit abgedichtet wurden:
CVE-2023-42114 https://www.zerodayinitiative.com/advisories/ZDI-23-1468/ 3001 fixed
CVE-2023-42115 https://www.zerodayinitiative.com/advisories/ZDI-23-1469/ 2999 fixed
CVE-2023-42116 https://www.zerodayinitiative.com/advisories/ZDI-23-1470/ 3000 fixed
CVE-2023-42117 https://www.zerodayinitiative.com/advisories/ZDI-23-1471/
CVE-2023-42118 https://www.zerodayinitiative.com/advisories/ZDI-23-1472/
CVE-2023-42119 https://www.zerodayinitiative.com/advisories/ZDI-23-1473/
Wenn man sich die Timeline ansieht, dann bemerkt man, die langen Phasen des Stillstands. Über Monate wurde nichts gemacht. Jetzt ist es Trend Micro „zu blöd“ geworden und sie haben ein Veröffentlichungsdatum gesetzt. Das war Mittwoch! Es hat aber bis gestern Abend gedauert, bis es Reaktionen gab.
Heiko Schlittermann vom Exim-Team, den Ihr alle noch aus dem Exim-Exploit-Talk „21Nails“ vom LPD 2021 kennen dürftet, meinte dazu, daß zu 3 von den 6 Lücken gar nicht ausreichend Infos geschickt worden waren, so daß man die Fehler nicht reproduzieren konnte. Ich glaube ihm das sofort, denn im Zuge der 21Nails 2021 war es ähnlich. Da reportet eine auf Code-Analyse spezialisierte Firma Bugs im Code, benennt Stellen, lieferte aber kaum Material, wieso das eine Lücke wäre bzw. wie man das Ausnutzen könnte.
Nur durch die Fixe weiß man bis jetzt um was es geht.
CVE-2023-42116: OOB-Write NTLM Authvorgang. (Geht hoffentlich nur, wenn man NTLM auch als AUTH drin hat. )
CVE-2023-42114: OOB-Write NTLM Authvorgang. ( klingt wie eine Abart von 42116 )
CVE-2023-42115/7/8/9: sind alles OOB Writes im SMTP-Teil, weil nicht richtig geprüft wird, wie lang das ist, was da gesendet wird.
Übers Wochenende wird es dann wohl mehr Infos geben. Ich kann Euch nur raten, wenn Ihr Exim einsetzt, die entsprechenden Stellen Eurer Distro so zu nerven, daß die auf Zack sind. EINE mögliche DEADLINE endet Sonntag Abend Ortszeit 🙁 Wenn bis dahin die Fixe nicht verteilt sind, geht das Rennen um die Exploits los und dann könntet Ihr die Verlierer sein. Ich überlege gerade, ob ich meine Exims nicht einfach selbst kompilieren, denn auch bei Fedora ist Funkstille. Ich habe genug Lärm gemacht, damit jeder dort weiß, das was dringendes im Busch ist. Ich hoffe es reicht, denn Zugang zu den geschützten Repos von Exim haben nur die großen Distros.