Risque(s)

  • Exécution de commande arbitraire à distance

Systèmes affectés

  • Exim versions antérieures à 4.92

Résumé

Le CERT-FR a connaissance de cas d'exploitation de la vulnérabilité CVE-2019-10149 qui affecte Exim et permet une exécution de commande arbitraire à distance.

Cette vulnérabilité est triviale à exploiter, d'autant plus que du code d'attaque est disponible publiquement sur internet.

Le CERT-FR recommande donc fortement l'application du correctif sorti le 05 juin 2019, et ce dans les plus brefs délais.

La commande suivante peut servir à détecter des tentatives d'exploitation en cherchant dans les journaux d'activités. Elle a été testée sur un système Debian avec une configuration par défaut.

grep '${run' /var/log/exim4/mainlog

Exemples de sortie:

2019-06-11 14:01:29 1hal5N-0001Hx-3T ** ${run<[COMMANDE EXECUTEE]>}@localhost: Too many "Received" headers - suspected mail loop
2019-06-11 14:02:14 1hal66-0001I7-MN ** ${run<[COMMANDE EXECUTEE]>}@localhost: Too many "Received" headers - suspected mail loop
2019-06-11 14:03:11 1hal70-0001IH-VN ** ${run<[COMMANDE EXECUTEE]>}@localhost: Too many "Received" headers - suspected mail loop
2019-06-11 14:07:44 1halBQ-0001Ij-2D ** ${run<[COMMANDE EXECUTEE]>}@localhost: Too many "Received" headers - suspected mail loop

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation