Tag Archives: Exim

Exim: TLS Protokollnamen haben sich geändert

Posted on by

Heute habe ich ein kleines exotisches Problem aus der Exim Welt für Euch, aus dem Ihr auch ohne Exim was lernen könnt.

Exim: TLS Protokollnamen haben sich geändert

Im Exim gibt es die Variable $tls_cipher. In dieser steht das TLS Protokoll drin,  auf welches sich die beteiligten Mailserver geeinigt haben. Rund eine Woche vor Exim 4.93 wurde „noch schnell“ ein Patch zur Standardisierung von SSL/TLS-Protokollnamen in das kommende Release (4.93) eingefügt. Leider war das eher unüberlegt, denn es wurde vergessen diesen Wechsel der Namen im ChangeLog von Exim 4.93 bekannt zu geben.

Nun setzten wir dies tatsächlich in einer ACL ein:

deny condition = ${if eq{${substr_0_7:$tls_cipher}}{TLSv1.2} {0}{1}}

Was dazu geführt hat, daß beim Wechsel auf Fedora 31 und in Folge auf Exim 4.94 die Config anpassen mußten:

deny condition = ${if eq{${substr_0_6:$tls_cipher}}{TLS1.2} {0}{1}}

Da diese Änderung nicht dokumentiert wurde, kam es nach dem Upgrade zu einer Störung des Mailverkehrs. Das möchte man natürlich vermeiden und deswegen liest ein Admin die Changelogs durch. Nutzte hier nur nichts.

Nehmt daher für Eure Projekte zwei Sachen mit:

1. Alles was zu Änderungen von Ausgaben und Variableninhalten führt, muß von Euch kommuniziert werden, sonst => Problem mit Nutzern.

2. „Testen! Testen! Testen!“

 

Exim ist echt der beste Mailserver!

Ich weiß, er hatte dies Jahr seine Schwächen, wobei die Fixe der Schwachstellen ja das eigentliche Highlite sind, aber an einer Sache muß ich Euch kurz teilhaben lassen.

Anti-Botnetzfunktion im Exim gebaut

Neulich hatten wir auf der Exim-ML jemanden, der durch ein Botnetz mit gehackten Zugangsdaten gespammt hat und fragte, wie er das weg bekommt. Da kam mir eine Idee, wie man das im Exim selbst direkt erkennen und abwehren kann, inklusive abschalten des gehackten Accounts und Mail an den Admin. Heute überkam mich das Verlangen, das doch noch kurz zu beweisen und hab es das innerhalb einer Stunde, nachts um 12 zusammen gehackt 🙂 Da dies im Detail natürlich jetzt ein Betriebsgeheimnis ist ;D, kann ich Euch leider nur gedanklich daran teilhaben lassen.

So viel: Man braucht eine Datenbanktabelle und mickrige 3 Anweisungen in Exim Konfigfile um die volle Funktion zu erreichen :DDD

Das Prinzip

Das Prinzip ist ganz einfach: Ein normaler Benutzer hat am Tag 1-2 IPs, außer er macht was ganz komisches. Kommt er jetzt mit mehr als den 1-2 IPs und will Emails senden, verweigert der Server die Annahme der Emails, weil das in der normalen Welt nur passieren kann, wenn ein Botnetz von verschiedenen IPs aus Spam einliefern will. Ok, wenn einer TOR benutzen würde, dann hätte er auch mehr als eine IP am Tag, aber wer macht das ohne Not schon als normaler Benutzer?

Warum poste ich das jetzt, wenn ich nicht sage wie es genau geht? Na weil ich a) den Sportsgeist in Euch wecken möchte und b) damit zeigen will, daß man sowas mit Exim ultimativ schnell und einfach hinbekommt. Neulich wurden wir auf der Mailingliste mal gefragt, wo denn der Unterschied zwischen Exim und Postfix läge. Die Antwort ist recht einfach: Postfix bekommt man einfach an den Start, nur mal eine Email annehmen oder senden geht schnell. Exim braucht deutlich mehr Config, kann dafür aber auch die komplexesten Aufgaben meistern. Jeder nimmt, was er für seine Ziele braucht.

Kleiner Tip: als praktischer Nebeneffekt der Umsetzung, kann man das auf Pro-Konto-Basis ein- und ausschalten. Pro Domain ginge zwar auch, macht aber keinen Sinn, weil jeder Mailkontobenutzer anders damit umgeht.

Wir haben das auf unserer Plattform live im Einsatz und es funktioniert wie es sollte. Jetzt muß bloß noch jemand gehackt werden 😉

Exim: neue mögliche RCE Schwachstelle gefunden

Posted on by

Toller Sonntag. Überall Regen und dann weckt mich noch die Meldung, das im Exim eine neue, nicht abwehrbare Schwachstelle gefunden wurde 🙁 ( wichtiges 13 Uhr Update unten )

Elysium ist gefallen

Es gibt einen neuen Bug, der auch bereits gefixt wurde, aber leider nicht mit einem Workaround abzuwehren geht. Das bedeutet für Euch, daß Ihr Updaten müßt.

Der Fehler liegt in einem Programmierfehler der Stringverarbeitung, die dummerweise bereits beim HELO/EHLO greift. Ein Angreifer kann einen Heap-overflow auslösen, in dem er einen überlangen ELHO String sendet.

An der Stelle des Codes wurden die Rootrechte zwar schon gedroppt, aber das hilft nur wenig, falls der Angreifer tatsächlich einen RCE hinbekommt, was nicht ausdrücklich ausgeschlossen ist, aber auch nicht 100% bestätigt wurde. Daher muß man davon ausgehen, daß es jemand früher oder später schafft: Worst-Case halt.

Betroffen sind alle Versionen < 4.92.3.

Also entweder Ihr patchted Euren alten Exim selbst, oder Ihr updated auf die neue Version. Eure Entscheidung.

Aktuelle CVE Nummer zu dem Exim RCE : CVE-2019-16928 .
(Passage geändert, vorher keine bekannt gewesen.)

13 Uhr Update

Fedora kompilierte Versionen sind nicht angreifbar. Der Exploit funktioniert einfach nicht.

Getestet auf: Fedora 29 64Bit gegen 4.92.2

Andere Distros könnten angreifbar sein. Es hängt auch ein bisschen damit zusammen, wie das angegriffene System konfiguriert ist. „Eylsium ist gefallen“ ziehe ich damit teilweise zurück .. das Fedosium steht noch :DDD

Der Exploitstring ist übrigens 11k lang, nur falls Ihr das bei euch mal selbst ausprobieren wollt, nehmt gleich 12k.

Außerdem wurde mitgeteilt, daß es im Rahmen der 4.92.x eingeführt wurde und mit 4.93 auch schon wieder draußen war. Die Exploitmeldung war leider etwas hastig formuliert worden. Allerdings sehe ich da keinen Schaden drin, weil „besser safe than sorry“ wie der Denglischer sagt 😉