พบช่องโหว่ร้ายแรงบน Exim เวอร์ชัน 4.80 – 4.92.1 ที่เปิดใช้ TLS แนะเร่งอัปเดต

ข่าวสารไวรัส วงการไอที
ที่บอร์ดนี้

พบช่องโหว่ร้ายแรงบน Exim เวอร์ชัน 4.80 – 4.92.1 ที่เปิดใช้ TLS แนะเร่งอัปเดต

โพสต์โดย KasamaKP » อังคาร 10 ก.ย. 2019 1:16 pm

ผู้เชี่ยวชาญพบช่องโหว่ที่ทำให้ผู้โจมตีสามารถทำการ Remote Code Execution บนซอฟต์แวร์ Exim Mail Transfer Agent (MTA) ตั้งแต่เวอร์ชัน 4.80 – 4.92.1 ที่เปิดรับการเชื่อมต่อของ TLS จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตเป็นเวอร์ชัน 4.92.2 โดยทันที

รูปภาพ
Credit: ShutterStock.com

ช่องโหว่หมายเลข CVE-2019-15846 ถูกรายงานโดย Zerons และวิเคราะห์จาก Qualys ซึ่งพบว่าผู้โจมตีสามารถส่ง SNI ที่ต่อท้ายด้วย Blackslash-null ระหว่างการทำ TLS Handshake เพื่อนำไปสู่การ Remote Code Execution ในสิทธิ์ระดับ Root บนเซิร์ฟเวอร์

โดย SNI ย่อมาจาก Server Name Indicator หรือส่วนขยายของ TLS ที่ทำให้เซิฟร์เวอร์ตัวเดียว (IP และ Port เดียวกัน) สามารถแสดง Certificate หลายใบได้ หรือพูดง่ายๆ ว่าเซิร์ฟเวอร์ที่โฮสต์ให้หลายเว็บไซต์

ทั้งนี้ในส่วนของผลกระทบนั้นจะเกิดกับ Exim ในเวอร์ชัน 4.80 – 4.92.1 เฉพาะที่เปิดรองรับ TLS เท่านั้น ซึ่งโดยปกติแล้วจะไม่ถูกเปิดเป็น Default Configuration แต่ก็มี Linux บางเวอร์ชันที่เปิดมาให้แล้ว ดังนั้นผู้ใช้งานก็ควรศึกษาเพิ่มเติม อย่างไรก็ตามสำหรับการป้องกันที่ดีที่สุดคือการอัปเดตแพตช์ในเวอร์ชัน 4.92.2 แต่หากยังไม่สะดวกก็สามารถเพิ่ม ACL ใน acl_smtp_mail เพื่อตรวจสอบ peer DN และ SNI ได้ดังนี้

deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}
deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}
โดยจากผลสำรวจคาดว่าจะมีเซิร์ฟเวอร์ MX ที่ได้รับผลกระทบจากช่องโหว่ในครั้งนี้ถึงหลายหมื่นหรือแสนตัวเลยทีเดียว และถึงแม้ว่าจะยังไม่มีรายการการโจมตีแต่ผู้ดูแลระบบทุกท่านก็ควรเร่งอัปเดตครับ

ที่มา : https://www.bleepingcomputer.com/news/s ... s-as-root/
ที่มา : https://www.techtalkthai.com/found-a-cr ... to-4-92-1/
KasamaKP
 
โพสต์: 196
ลงทะเบียนเมื่อ: อาทิตย์ 21 พ.ค. 2017 6:35 pm

ย้อนกลับไปยัง IT News

ผู้ใช้งานขณะนี้

กำลังดูบอร์ดนี้: ไม่มีสมาชิกใหม่ และ บุคคลทั่วไป 1 ท่าน

cron