CVE-2019-15846 Критическая уязвимость в exim

На днях специалисты по информационной безопасности опубликовали новость об обнаруженной в почтовом сервере exim версий включительно до 4.92.1 проблеме безопасности, позволяющей злоумышленникам выполнять произвольный код с правами root на уязвимой системе. Скоординированное обновления было выпущено разработчиками 6.09.2019 в 10:00 UTC и команды поддержки популярных дистрибутивов уже выпустили обновления.

Для того, чтобы быть уверенным в безопасности вашего сервера необходимо произвести несколько несложных действий, в зависимости от используемой вами ОС. Просто следуйте инструкциям, расположенным ниже.

1) Обновление (рекомендуемый вариант)

В первую очередь нужно выяснить подвержен ли сервер уязвимости. Для этого необходимо выяснить тип и версию вашей операционной системы и версию установленного почтового сервера exim.

Если у вас Debian, выяснить установлен ли exim, и его версию можно с помощью команды

dpkg --list |grep exim

Если exim не установлен, или установлена одна из следующих версий 4.84.2-2+deb8u6, 4.89-2+deb9u6, 4.92-8+deb10u2, 4.92.1-3 (подробнее здесь), то ваш сервер не подвержен уязвимости, никаких действий больше не требуется.

В противном случае необходимо выполнить обновление при помощи команд

apt-get update
apt-get install exim4

Если в результате версия была обновлена до одной из тех, что указаны выше, то ваш сервер неподвержен уязвимости, никаких действий больше не требуется.

В противном случае может потребоваться обновление операционной системы, либо ручная сборка пакета с обновлением, либо изменение конфигурации (см. далее).

Если у вас CentOS, выяснить установлен ли exim, и его версию можно с помощью команды

rpm -qa |grep exim

Если exim не установлен, либо версия exim 4.92.2 и выше, то ваш сервер не подвержен уязвимости.

В противном случае необходимо выполнить обновление при помощи команды

yum update exim

Если в результате версия была обновлена до указанной выше, то ваш сервер неподвержен уязвимости, никаких действий больше не требуется.

В противном случае может потребоваться обновление операционной системы, либо ручная сборка пакета с обновлением, либо изменение конфигурации (см. далее).

Если у вас Ubuntu, выяснить установлен ли exim, и его версию можно с помощью команды

dpkg --list |grep exim

Если exim не установлен, или установлена одна из следующих версий 4.86.2-2ubuntu2.5, 4.90.1-1ubuntu1.4, 4.92-4ubuntu1.3 (подробнее здесь), то ваш сервер не подвержен уязвимости, никаких действий больше не требуется.

В противном случае необходимо выполнить обновление при помощи команд

apt-get update
apt-get install exim4

Если в результате версия была обновлена до одной из тех, что указаны выше, то ваш сервер неподвержен уязвимости, никаких действий больше не требуется.

В противном случае может потребоваться обновление операционной системы, либо ручная сборка пакета с обновлением, либо изменение конфигурации (см. далее).

В случае, если вы все еще используете снятые с поддержки версии Ubuntu 14.04 и 12.04, то обновления безопасности для них все еще выпускаются в рамках проекта расширенной поддержки безопасности, и доступны на платной основе, подробнее об этом можно узнать на сайте Ubuntu.

2) Изменение конфигурации

Для минимизации рисков проведения атаки в случае, если обновление для вашей операционной системы по каким-то причинам недоступно, рекомендуется изменить конфигурацию exim, добавив следующий код как часть основного ACL

deny    condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}

deny    condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}

В качестве крайней меры, когда невозможно и изменение настроек, единственным вариантом защиты будет отключение почтового сервера exim.

Конечно же, вы всегда можете обратиться за помощью к нашим администраторам, они проверят подвержен ли ваш сервер уязвимости и по возможности выполнят обновление, либо предложат иное решение проблемы.