Exim: neue mögliche RCE Schwachstelle gefunden

Toller Sonntag. Überall Regen und dann weckt mich noch die Meldung, das im Exim eine neue, nicht abwehrbare Schwachstelle gefunden wurde 🙁 ( wichtiges 13 Uhr Update unten )

Elysium ist gefallen

Es gibt einen neuen Bug, der auch bereits gefixt wurde, aber leider nicht mit einem Workaround abzuwehren geht. Das bedeutet für Euch, daß Ihr Updaten müßt.

Der Fehler liegt in einem Programmierfehler der Stringverarbeitung, die dummerweise bereits beim HELO/EHLO greift. Ein Angreifer kann einen Heap-overflow auslösen, in dem er einen überlangen ELHO String sendet.

An der Stelle des Codes wurden die Rootrechte zwar schon gedroppt, aber das hilft nur wenig, falls der Angreifer tatsächlich einen RCE hinbekommt, was nicht ausdrücklich ausgeschlossen ist, aber auch nicht 100% bestätigt wurde. Daher muß man davon ausgehen, daß es jemand früher oder später schafft: Worst-Case halt.

Betroffen sind alle Versionen < 4.92.3.

Also entweder Ihr patchted Euren alten Exim selbst, oder Ihr updated auf die neue Version. Eure Entscheidung.

Aktuelle CVE Nummer zu dem Exim RCE : CVE-2019-16928 .
(Passage geändert, vorher keine bekannt gewesen.)

13 Uhr Update

Fedora kompilierte Versionen sind nicht angreifbar. Der Exploit funktioniert einfach nicht.

Getestet auf: Fedora 29 64Bit gegen 4.92.2

Andere Distros könnten angreifbar sein. Es hängt auch ein bisschen damit zusammen, wie das angegriffene System konfiguriert ist. „Eylsium ist gefallen“ ziehe ich damit teilweise zurück .. das Fedosium steht noch :DDD

Der Exploitstring ist übrigens 11k lang, nur falls Ihr das bei euch mal selbst ausprobieren wollt, nehmt gleich 12k.

Außerdem wurde mitgeteilt, daß es im Rahmen der 4.92.x eingeführt wurde und mit 4.93 auch schon wieder draußen war. Die Exploitmeldung war leider etwas hastig formuliert worden. Allerdings sehe ich da keinen Schaden drin, weil „besser safe than sorry“ wie der Denglischer sagt 😉

 

ProFTPd – mod_copy Exploit … schon wieder

Keine gute Woche für altgediehnte  Linuxservices wie Exim und ProFTPd 🙁 ProFTPd hat einen Bug im Rechtemanagement von mod_copy, den man benutzen kann um als (anonymer) Benutzer sämtliche Dateien des Servers überschreiben kann: CVE-2019-12815

Schon wieder!

Es gibt zwar seit dem 17.7 einen Patch dafür, aber das ist nicht unbedingt dem profimäßigen Verhalten vom ProFTPd Team zu verdanken, sondern dem Debian-Security-Team, daß dem ProFTPd Team wohl mal in den Arsch getreten hat, wie diese Zeitangabe zeigt:

Timeline:

  • 28.09.2018 Reported to ProFTPd security@, ProFTPd asking for clarifications
    12.06.2019 Reported to Debian Security Team, replies by Moritz & Salvatore
    28.06.2019 Deadline for public disclosure on 28.07.2019 announced
    17.07.2019 Fix published by ProFTPd

2015 gab es so einen Fehler schon einmal in dem gleichen Modul „mod_copy“. Dies dürfte dazu geführt haben, daß es in der Default-Konfig von Fedora gleich mal auskommentiert ist. Normalerweise braucht man das auch nicht.

Das die Security-Typen bei ProFTPd für mich ein Haufen ignoranter Besserwisser sind, kann ich schon damit belegen, daß ich für den 29C3 einen Vortrag zum Thema „Chroot umgehen mit Links“ eingereicht hatte. Das eigentliche Problem hat das Security Team übrigens mit den Worten „Uns doch egal, haben wir in der Doku drauf hingewiesen“ abgewimmelt, nur im es dann Jahre später doch zu beheben.

Es muß offensichtlich erst ein namhafter Mitmensch kommen, damit dem geglaubt wird. Dabei hatte ich denen sogar einen Patch geschrieben, der das erfolgreich verhindert hat. Am Ende haben Sie es dann tatsächlich wie von mir vorgeschlagen mit einer entsprechenden Option „schaltbar“ gemacht. Ihr dürft mir glauben, gut zu sprechen bin ich auf die nicht und alleine auch nicht, wie man sieht!

 

 

Der Nachtrag: LPD in Braunschweig

Wenn man in Braunschweig einen LPD plant, dann muß man eine goldene Regel beachten. Nur diese !!eine!! Regel entscheidet darüber, ob Dein Event gut besucht wird, oder nicht, und diese !!eine!! Regel ist wirklich wichtig :

Mach Deinen LPD niemals an einem Tag, an dem Eintracht Braunschweig um den Klassenerhalt spielt 🙂

Die Besucherzahlen waren besser als auf den letzten LPDs und damit setzt sich der positive Trend der letzten Jahre fort. Das Wetter war fantastisch, was natürlich für eine In-Raum Veranstaltung nicht gerade förderlich war. Natürlich gab es wieder Lecker zu Essen: Danke Horst!

Zu den Ergebnissen:

Wir haben einen neuen Anreiserekord aus Dessau \o/
Wir haben jetzt spontan einen neuen Linux-Tablet-Besitzer in Braunschweig, was dann fünf Sichtungen macht bislang 😉
Unsere Multi-Room-Audiolösung konnte das eine und andere Cool entlocken 🙂
Die Kanotix Maintainer konnten viele lange Gespräche über Linux führen.
Die Asterix Telefonanlage fand begeisterte Nerds, die lautstark gefachsimpelt haben 😀
und ein zwanzig Jahre (unbestätigt) altes Artpad konnte wieder belebt werden ( das es damals schon USB gab 🙂 )

Am Ende waren alle zufrieden mit dem Tag.

Die für uns weniger interessanten Fakten des Tages, Eintracht bleibt der Abstieg in das Vergessen erspart, und den Anwohnern wird auch weiterhin in den Vorgarten gepinkelt, was die Blase hergibt.

An dieser Stelle der Nerdhinweis für die kommenden Tage:

29.5.2019 ab 18:00 Uhr : Der OpenSteetMap Abend mit Dipl.-Ing. Annette Thurow

 

 

Im Mai: Linux-Presentation-Day 2019.1

Hallo Leute, es ist mal wieder soweit, am 18. Mai 2019 um 13 Uhr startet der Linux-Presentation-Day 2019.1 im Haus der Talente in Braunschweig.

Bei diesem LPD gehen wir mal neue Wege und machen keine Vorträge, sondern arbeiten mit Themeninseln. Jeder Besucher kann einfach fragen, was ihm auf dem Herzen liegt und wir antworten.

Im Mai mit im Programm:

  • Linux zum Anfassen
  • Linux auf Tablets
  • Asterix, die Telefonanlage
  • Multi-Room Audio mit Linux ( wenn es klappt 😉 )

Der LPD fängt um 13 Uhr im Nachbarschaftszentrum „Haus der Talente“, Elbestraße 45, in der Braunschweiger Weststadt an, und geht bis 19 Uhr. Die Braunschweiger Linux-User-Group freut sich natürlich wie jedes Jahr über Euren zahlreiches Erscheinen. Zu Essen gibt es auch wieder 😉

Und noch der Link zur Seite: https://bs-lug.de/lpd.2019.1