Fedora: Exim 4.96.1 Updates sind jetzt im Test-Repo

Ihr könnt die also auch direkt einspielen:

dnf –enablerepo=updates-testing update exim*

Ich hab dem Maintainer eine entsprechende Mail mit Testlauf geschickt. Ich weiß nicht, wieso das Update nicht per Critpath ins Stable rausging, ist ja immerhin eine kritische Sicherheitslücke.

Fedora: Exim 4.96.1 Updates verfügbar

Das Exim Dev Team hat geliefert und Fedora hat gebaut und wir haben es schon verteilt 😀

Fedora: Exim 4.96.1 Updates verfügbar

Im Fedora KOJI sind die aktuellen 4.96.1 Versionen verfügbar. Ich bin da mal in die Bresche gesprungen und habe unseren Cluster aktualisiert und … läuft!

Jetzt muß ich allerdings gestehen, wir waren gar nicht betroffen. Die nötigen AUTH Kommandos NTLM, TLS und EXTERNAL unterstützen wir gar nicht und die LIBSPF Lücke, die über die in Exim integrierte SPF Prüfung angesprochen wird, haben wir auch nicht im Einsatz. Ich habe schon lange bevor das in Exim eingebaut wurde, eine Lösung in Perl eingesetzt.

Je nach Eurer Fedora Release, schaut Ihr mal in diesen Link rein:

https://koji.fedoraproject.org/koji/packageinfo?packageID=1694

Dort findet Ihr alle Exim Version. Klickt auf den für Eure Release richtigen Link und dann ladet für Euren Prozessor die bereits installierten Pakete runter. Mit „rpm -qa | grep exim“ bekommt man die Namen der Pakete die man da runterladen muß!

An dieser Stelle ein großes Lob und Dank an Heiko Schlittermann und das ganze Exim Team für eine schnelle Lösung unter widrigsten Umständen! Habt Ihr gut gemacht.

6x 0-Day in Exim Mailserver

Nein, ich weiß auch nicht mehr als Ihr, auch wenn es mal wieder um Exim geht. Details sind nur spärlich zu haben.

6x 0-Day in Exim Mailserver

Mitte 2022 wurde von Trend Micro an das Exim Team eine Liste von 6 Lücken gemeldet, von denen jetzt 3 soweit abgedichtet wurden:

CVE-2023-42114 https://www.zerodayinitiative.com/advisories/ZDI-23-1468/ 3001 fixed

CVE-2023-42115 https://www.zerodayinitiative.com/advisories/ZDI-23-1469/ 2999 fixed

CVE-2023-42116 https://www.zerodayinitiative.com/advisories/ZDI-23-1470/ 3000 fixed

CVE-2023-42117 https://www.zerodayinitiative.com/advisories/ZDI-23-1471/

CVE-2023-42118 https://www.zerodayinitiative.com/advisories/ZDI-23-1472/

CVE-2023-42119 https://www.zerodayinitiative.com/advisories/ZDI-23-1473/

Wenn man sich die Timeline ansieht, dann bemerkt man, die langen Phasen des Stillstands. Über Monate wurde nichts gemacht. Jetzt ist es Trend Micro „zu blöd“ geworden und sie haben ein Veröffentlichungsdatum gesetzt. Das war Mittwoch! Es hat aber bis gestern Abend gedauert, bis es Reaktionen gab.

Heiko Schlittermann vom Exim-Team, den Ihr alle noch aus dem Exim-Exploit-Talk „21Nails“ vom LPD 2021 kennen dürftet, meinte dazu, daß zu 3 von den 6 Lücken gar nicht ausreichend Infos geschickt worden waren, so daß man die Fehler nicht reproduzieren konnte. Ich glaube ihm das sofort, denn im Zuge der 21Nails 2021 war es ähnlich. Da reportet eine auf Code-Analyse spezialisierte Firma Bugs im Code, benennt Stellen, lieferte aber kaum Material, wieso das eine Lücke wäre bzw. wie man das Ausnutzen könnte.

Nur durch die Fixe weiß man bis jetzt um was es geht.

CVE-2023-42116:  OOB-Write NTLM Authvorgang. (Geht hoffentlich nur, wenn man NTLM auch als AUTH drin hat. )
CVE-2023-42114:  OOB-Write NTLM Authvorgang. ( klingt wie eine Abart von 42116 )

CVE-2023-42115/7/8/9: sind alles  OOB Writes im SMTP-Teil, weil nicht richtig geprüft wird, wie lang das ist, was da gesendet wird.

Übers Wochenende wird es dann wohl mehr Infos geben. Ich kann Euch nur raten, wenn Ihr Exim einsetzt, die entsprechenden Stellen Eurer Distro so zu nerven, daß die auf Zack sind. EINE mögliche DEADLINE endet Sonntag Abend Ortszeit 🙁 Wenn bis dahin die Fixe nicht verteilt sind, geht das Rennen um die Exploits los und dann könntet Ihr die Verlierer sein. Ich überlege gerade, ob ich meine Exims nicht einfach selbst kompilieren, denn auch bei Fedora ist Funkstille. Ich habe genug Lärm gemacht, damit jeder dort weiß, das was dringendes im Busch ist. Ich hoffe es reicht, denn Zugang zu den geschützten Repos von Exim haben nur die großen Distros.