Alfonso Maruccia

Exim, vulnerabili i server email

Individuate due pericolose vulnerabilità nel software per server email più usato al mondo. Una delle falle può portare all'esecuzione di codice da remoto, mentre gli sviluppatori promettono una patch che ancora latita

Roma - Un ricercatore ha scovato due vulnerabilità di sicurezza, una più pericolosa dell'altra, nel codice di Exim, sistema di Mail Transfer Agent (MTA) open source per OS Unix-like usato su più del 50 per cento dei mail server presenti in Rete. Chi l'ha scoperta si lamenta della difficoltà di comunicazione con gli sviluppatori e questi ultimi suggeriscono "pezze" temporanee in attesa di una patch propriamente detta.

Il primo bug è una vulnerabilità di tipo use-after-free che può essere sfruttata per eseguire codice malevolo da remoto, un problema riguardante la funzionalità di "chunking" di Exim usata per spezzettare le mail di grandi dimensioni per uno smistamento più agevole.

La seconda vulnerabilità, invece, è di minore gravità riguardando un "semplice" rischio di attacco DoS con conseguente crash del server.
Anche in questo caso si tratta di abusare dei comandi di chunking di Exim.
Per quanto riguarda le versioni vulnerabili, si parla delle ultime release del software ovvero della 4.88 e 4.89. I dettagli dei bug sono già stati resi pubblici vista l'assenza di un canale di comunicazione privato, un problema riconosciuto anche dagli stessi sviluppatori di Exim.



Un agente MTA come Exim ha il compito di smistare la posta elettronica fra mittente e destinatario, e stando alle stime fornite dai ricercatori il numero di server vulnerabili (ovverosia con la funzionalità di chunking abilitata) si attesta sulle oltre 400.000 unità.

Al momento non esistono informazioni precise sull'arrivo della prevedibile patch correttiva, e il team di Exim si è limitato a fornire istruzioni su come inibire gli eventuali attacchi disabilitando parte della funzionalità di chunking nella configurazione del server ("chunking_advertise_hosts =").

Alfonso Maruccia
Notizie collegate
42 Commenti alla Notizia Exim, vulnerabili i server email
Ordina
  • ...ma potremmo partire dalle origini?
    cioe' dal fatto che BDAT + BINARYMIME sono un'abberrazione?
    nati come un experimental rfc uno sbrego di anni fa e poi ricopiato verbatim nella rf3030 e mai piu ritoccato penso.. un cmd alternativo e opzionale per trasferire 'ottimizzando' dei blobboni binari via posta...

    Ma come ebbe a dire un vecchio signore, alla domanda del perche' postfix e qmail non lo implementavano: "beh c'e' qualcuno che ANCORA PENSA che l'SMTP *non* sia un file transfer protocol... hint= SM = simple mail"
    Cazzo metti un url no?
    non+autenticato
  • - Scritto da: bubba
    > ...ma potremmo partire dalle origini?
    > cioe' dal fatto che BDAT + BINARYMIME sono
    > un'abberrazione?
    > nati come un experimental rfc uno sbrego di anni
    > fa e poi ricopiato verbatim nella rf3030 e mai
    > piu ritoccato penso.. un cmd alternativo e
    > opzionale per trasferire 'ottimizzando' dei
    > blobboni binari via
    > posta...
    >
    > Ma come ebbe a dire un vecchio signore, alla
    > domanda del perche' postfix e qmail non lo
    > implementavano: "beh c'e' qualcuno che ANCORA
    > PENSA che l'SMTP *non* sia un file transfer
    > protocol... hint= SM = simple
    > mail"
    > Cazzo metti un url no?
    fico.. fa casino persino ai winari (M$ e' sempre la prima a implementare le stramberie )... e' del 2016... https://serverfault.com/questions/777277/smtp-iis-...
    non+autenticato
  • Non sai quanti ticket girano con "la mail m'ha zappatto l'allegato!!!" di bipedi che vogliono spedire files di decine di Mb se non qualche Gb...

    Il punto è che non da oggi scambiarsi files è ancora "problematico" ovvero impensabile per l'utente medio tipo.
    non+autenticato
  • Non ho capito tanto bene quello che c'è scritto qui:

    "Chi l'ha scoperta si lamenta della difficoltà di comunicazione con gli sviluppatori e questi ultimi suggeriscono "pezze" temporanee in attesa di una patch propriamente detta"

    Continuo a rileggere ma non capisco....
    1. Come è possibile che ci siano bug ? A me hanno sempre detto che nel mondo open non ci sono bug; nel mondo closed si, eccome !!
    Il sw closed è pieno di bug ma quello open... Triste

    2. Come è possibile che ci siano difficoltà di comunicazione con gli sviluppatori ? A me hanno sempre detto che nel mondo open è facile comunicare; mi hanno detto che le persone sono tutte sorridenti, gentili e disponibili al confronto, felici di essere al servizio della community, reattive ed operose...deve essere una balla colossale quello che c'è scritto...non c'è altra spiegazione... A bocca storta

    3. Ma come ???!! "una pezza temporanea" ? A me hanno sempre detto che nel mondo open i problemi vengono sistemati una volta per tutte facendo affidamento alle grandissime competenze e professionalità che solo nel mondo open trovi; in fin dei conti non stiamo parlando di sw closed ma open... Newbie, inesperto

    La mia mente si rifiuta di capire Perplesso ma....aspetta...improvvisamente tutto mi è più chiaro.... alla fine forse devo solo accettare la dura realtà: è l'ennesimo fallimento del modello open...In lacrime In lacrimeIn lacrime
    non+autenticato
  • - Scritto da: open sorciaro
    > Non ho capito tanto bene quello che c'è scritto
    > qui:
    >
    > "Chi l'ha scoperta si lamenta della difficoltà
    > di comunicazione con gli sviluppatori e questi
    > ultimi suggeriscono "pezze" temporanee in attesa
    > di una patch propriamente
    > detta"

    >
    > Continuo a rileggere ma non capisco....
    > 1. Come è possibile che ci siano bug ? A me hanno
    > sempre detto che nel mondo open non ci sono bug;
    > nel mondo closed si, eccome !!
    >
    > Il sw closed è pieno di bug ma quello open... Triste

    Chi ti ha detto questa cosa ?
    Torna su fb che è meglio
    non+autenticato
  • - Scritto da: certoHaiRag ioneAppleF an
    > Chi ti ha detto questa cosa ?

    Gli open sorciari del forum. Tu sei un open sorciaro del forum ? Allora devi avermelo detto proprio tu.

    > Torna su fb che è meglio

    A me gli open sorciari del forum mi hanno detto di non andare su fb ma di leggere il forum di PI che è pieno di gente da cui si possono imparare un sacco di cose intelligenti, per esempio: se non sei un linaro, sei un applefan.
    Tu sei uno di quelli vero ? Allora devi avermelo detto proprio tu.
    non+autenticato
  • - Scritto da: open sorciaro
    > - Scritto da: certoHaiRag ioneAppleF an
    > > Chi ti ha detto questa cosa ?
    >
    > Gli open sorciari del forum. Tu sei un open
    > sorciaro del forum ? Allora devi avermelo detto
    > proprio
    > tu.
    >
    > > Torna su fb che è meglio
    >
    > A me gli open sorciari del forum mi hanno detto
    > di non andare su fb ma di leggere il forum di PI
    > che è pieno di gente da cui si possono imparare
    > un sacco di cose intelligenti, per esempio: se
    > non sei un linaro, sei un
    > applefan.
    > Tu sei uno di quelli vero ? Allora devi avermelo
    > detto proprio
    > tu.

    Io sarei proprio curioso di sapere l'età ed il tuo lavoro
    non+autenticato
  • - Scritto da: certoHaiRag ioneAppleF an
    > Io sarei proprio curioso di sapere l'età ed il
    > tuo
    > lavoro

    Ma pensa che mi sono chiesto la stessa cosa quando ho letto il nick: "certoHaiRagioneAppleFan", e la domanda:

    - Scritto da: certoHaiRag ioneAppleF an
    > Tu cosa hai fatto di buono nella tua vita ?

    Uno con un nick così e che fa certe domande deve essere una persona matura, realizzata e deve avere fatto grandi cose nella vita....ecco perchè ora sente il bisogno di andare a regalare le sue perle di saggezza sul forum di PI...o no ? Triste
    non+autenticato
  • > 2. Come è possibile che ci siano difficoltà di
    > comunicazione con gli sviluppatori ? A me hanno
    > sempre detto che nel mondo open è facile
    > comunicare; mi hanno detto che le persone sono
    > tutte sorridenti, gentili e disponibili al
    > confronto, felici di essere al servizio della
    > community, reattive ed operose...deve essere una
    > balla colossale quello che c'è scritto...non c'è
    > altra spiegazione...
    >A bocca storta
    >

    Exim is a message transfer agent (MTA) developed at the University of Cambridge for use on Unix systems connected to the Internet.
    [https://www.exim.org/]

    un progetto universitario del 1995 regalato al mondo e stai pure a giudicare.
    Tu cosa hai fatto di buono nella tua vita ?
    non+autenticato
  • - Scritto da: certoHaiRag ioneAppleF an

    > un progetto universitario del 1995 regalato al
    > mondo e stai pure a giudicare.
    >

    Dammi il tuo indirizzo che ti spedisco un barile di letame, quello fresco e morbido.

    Te lo regalo eh
    non+autenticato
  • - Scritto da: .....
    > - Scritto da: certoHaiRag ioneAppleF an
    >
    > > un progetto universitario del 1995 regalato
    > al
    > > mondo e stai pure a giudicare.
    > >
    >
    > Dammi il tuo indirizzo che ti spedisco un barile
    > di letame, quello fresco e
    > morbido.
    >
    > Te lo regalo eh

    Io sarei proprio curioso di sapere l'età ed il tuo lavoro
    non+autenticato
  • - Scritto da: certoHaiRag ioneAppleF an
    > - Scritto da: .....
    > > - Scritto da: certoHaiRag ioneAppleF an
    > >
    > > > un progetto universitario del 1995
    > regalato
    > > al
    > > > mondo e stai pure a giudicare.
    > > >
    > >
    > > Dammi il tuo indirizzo che ti spedisco un
    > barile
    > > di letame, quello fresco e
    > > morbido.
    > >
    > > Te lo regalo eh
    >
    > Io sarei proprio curioso di sapere l'età ed il
    > tuo
    > lavoro

    Abbastanza per capire che non tutto quello che è regalato è detto che sia una cosa buona.
    Comunque era una provocazione alla frase "siccome è regalato non giudicare", non era per il caso specifico di Exim
    non+autenticato
  • - Scritto da: certoHaiRag ioneAppleF an
    > Exim is a message transfer agent (MTA) developed
    > at the University of Cambridge for use on Unix
    > systems connected to the
    > Internet.
    > [https://www.exim.org/]

    Ecco appunto..... a me gli open sorciari del forum mi hanno sempre detto che chi scrive sw open è gente con grandi competenze e professionalità.
    Mi ricordavo che me lo avevi detto tu e me lo confermi.

    > un progetto universitario del 1995 regalato al
    > mondo e stai pure a giudicare.

    No macchè giudicare....aspe'...allora mi stai dicendo che è da 22 anni che c'è quella vulnerabilità ? Deluso
    Non capisco...a me hanno sempre detto che nel mondo open non esistono vulnerabilità così vecchie...mica stiamo parlando di MS, no ? Sorpresa
    MS sì che ha vulnerabilità vecchie di decenni....è sw closed...lo posso capire...Sorpresa ma....qui...qui stiamo parlando della competenza e professionalità degli sviluppatori open....proprio non capisco... Perplesso

    > Tu cosa hai fatto di buono nella tua vita ?

    Non so....io venivo solo qui ad imparare dagli open sorciari del forum, quelli migliori del mondo....non capisco....Perplesso   ma....aspetta...improvvisamente tutto mi è più chiaro.... forse....mi hai risposto di nuovo perchè ti rode il culo per quello che ho scritto..... A bocca storta eppure...non so....ho solo riportato quello che mi hanno detto gli open sorciari del forum.... Triste ...e allora...alla fine ...forse devo solo accettare la dura realtà: gli open sorciari del forum dicono solo un sacco di minchiate In lacrimeIn lacrimeIn lacrime
    non+autenticato
  • Temo la tua mente sia binaria, vede solo il bianco e il nero.
    Per esempio la tua mente con comprende che UN bug scoperto con POTENZIALI implicazioni di sicurezza è stato annunciato e patchato dalle principali distro in maniera sostanzialmente contestuale e si stà discutendo della gestione di un progetto che non è affatto diffuso come scrive l'articolista.

    Nel mondo closed invece il baco viene preso in considerazione in media dopo mesi dalla sua segnalazione quando cominciano a girare exploit che lo sfruttano, inoltre non ci sono packagers che possono patchare per i fatti loro al di la dell'upstream, sei costretto ad affidarti all'autore di un dato software.

    Ps posso chiedere quali altri fallimenti del mondo open conosci? Perché l'adozione di software libero è in crescita grossomodo regolare da decenni.
    non+autenticato
  • ma da quando Exim sarebbe l'MTA (server smtp se vogliamo farci capire) più diffuso? A me pare sia Postfix, da tempo immemore e la controparte (MDA, se vogliamo gli acronimi, server IMAP se vogliamo farci capire) direi che sia da anni Dovecot...

    Exim è di moda nel mondo Debian, QMail è di moda per un certo numero di admin, ... Ma addirittura il 50% di share mi pare un pelino esagerato.

    A parte ciò le principali distro han aggiornato, dal 27 novembre in media. Gli admin con un'infrastruttura IT adeguata anche Sorride

    E pensate che è una vulnerabilità ancora senza exploit pubblici e già corretta a stretto giro, quasi come il mondo Apple/Microsoft&c
    non+autenticato
  • Ma si puo' essere piu' cialtroni di questi qua?

    Non hanno ancora patchato un software presente in 400.000 server
    Una cosa che ha una sola spiegazione:

    SI SONO PERSI I SORGENTI!

    Niente di piu' facile per uno strumento vecchio di 22 anni, sommato alla sciagurata politica del open source!

    Nel mondo closed si potra' dire di tutto, ma mai che siano cosi' idioti da da fracassare gli zebedei a tutti a dire che con i sorgenti tutti possono mettere le patche controllare e poi perdersi i sorgenti e non rilasciare aggiornamenti.
    non+autenticato
  • - Scritto da: Tornaindiet ro
    > Ma si puo' essere piu' cialtroni di questi qua?
    >
    > Non hanno ancora patchato un software presente in
    > 400.000
    > server
    > Una cosa che ha una sola spiegazione:
    >
    > SI SONO PERSI I SORGENTI!

    I sorgenti sono qua.
    https://github.com/Exim/exim

    Se sei interessato a risolvere il problema, prego.
    Scarica i sorgenti, debugga, correggi, ricompila, e testa.

    Se non sei interessato, puoi sempre avvalerti dello zero percento di server di posta presenti in rete con i sistemi closed che tanto ti piacciono.
  • È corretto dal 27/11, tutte le principali distro (e penso se non tutte il 99% delle altre) han aggiornato.
    non+autenticato
  • >
    > I sorgenti sono qua.
    > https://github.com/Exim/exim
    >

    I sorgenti senza patch, a me servono quelli con la patch

    > Se sei interessato a risolvere il problema, prego.
    > Scarica i sorgenti, debugga, correggi, ricompila,
    > e
    > testa.
    >

    E allora a cosa serve la comunità se il lavoro devo farlo io? Il lavoro lo fa qualcun'altro da che mondo è mondo, io ne prendo solo il risultato, sto già scrivendo e patchando il software che gestisco io e che puoi trovare su sourceforge, se ogni volta che uscisse un bug per un software open che uso mi dovessi scrivere la patch allora si che andrei a comprare software closed con una azienda dietro. Ma ci sei o ci fai? Ma lo sai che c'è un gruppo di sviluppo dietro exim e di solito dietro a tutti i progetti di una certa complessità o credi che la gente si faccia le patch da solo in casa?


    > Se non sei interessato, puoi sempre avvalerti
    > dello zero percento di server di posta presenti
    > in rete con i sistemi closed che tanto ti
    > piacciono.

    Sono interessato eccome, ho almeno 21 server a memoria con exim da clienti vari, se non esce la patch e questi si beccano attacchi sono nei casini
    non+autenticato
  • > Sono interessato eccome, ho almeno 21 server a
    > memoria con exim da clienti vari, se non esce la
    > patch e questi si beccano attacchi sono nei
    > casini

    Direi che hai un motivo sufficienti per farti la patch da solo....

    Al massimo puoi chiedere al sistemista asino panda rossa di fartela.
    maxsix
    10806
  • >
    > Direi che hai un motivo sufficienti per farti la
    > patch da
    > solo....
    >

    Anche tu? Ma secondo te io mi leggo e studio un codice che non ho mai visto prima? Mi ci vorrebbero giorni come minimo. Allora ditemi che opne-source vuol dire "fatti le patch da solo" che mi regolo di conseguenza. Tutto il software open che uso è regolarmente aggiornato di norma.
    non+autenticato
  • - Scritto da: Tornaindiet ro
    > >
    > > Direi che hai un motivo sufficienti per
    > farti
    > la
    > > patch da
    > > solo....
    > >
    >
    > Anche tu? Ma secondo te io mi leggo e studio un
    > codice che non ho mai visto prima? Mi ci
    > vorrebbero giorni come minimo. Allora ditemi che
    > opne-source vuol dire "fatti le patch da solo"
    > che mi regolo di conseguenza. Tutto il software
    > open che uso è regolarmente aggiornato di
    > norma.

    "it's magic" [cit.]
    maxsix
    10806
  • - Scritto da: Tornaindiet ro
    > Anche tu? Ma secondo te io mi leggo e studio un
    > codice che non ho mai visto prima? Mi ci
    > vorrebbero giorni come minimo.
    Beh, è la risposta tipica di pandolo rosa, se vuo qualche cosa fattela da solo. A tutt'oggi però nessuno ha visto i prodotti/lavori dal suddetto personaggio.
    > Allora ditemi che open-source vuol dire "fatti le patch da solo"
    Beh se leggi i commenti del grullino è quello che propugna sempre, se qualche cosa non ti va bene adattatela/sviluppatela da te. Soluzione che, a chiacchere, è ottima ma si scontra poi con una realtà che lui ignora (probabilmente perché non ha mai fatto un c...o in vita sua)
    > Tutto il software open che uso
    > è regolarmente aggiornato di norma.
    Beh è il minimo che uno, minimamente preoccupato dalal sicurezza, dovrebbe fare indipendentemente dal fatto che sia open o closed
    non+autenticato
  • - Scritto da: Tornaindiet ro
    > Il lavoro lo fa qualcun'altro da
    > che mondo è mondo, io ne prendo solo il
    > risultato,

    Giusto !! Come la scuola di panda rossa insegna, no ?

    > sto già scrivendo e patchando il
    > software che gestisco io e che puoi trovare su
    > sourceforge,

    Panda rossa in questo momento non può risponderti perchè anche lui sta facendo la stessa cosa sui suoi mitici sorgenti / script su sourceforge.

    > se ogni volta che uscisse un bug per
    > un software open che uso mi dovessi scrivere la
    > patch allora si che andrei a comprare software
    > closed con una azienda dietro.

    Ma scusa fatti furbo come panda rossa: installati una VM e fai girare tutto su lì se sei preoccupato per qualche sw open che ti sei "asgarregato" !!
    Ah...la VM però che sia aggratis...ehm...open !! Perchè "open" vuol dire fiducia !!!
    non+autenticato
  • > Ma scusa fatti furbo come panda rossa: installati
    > una VM e fai girare tutto su lì se sei
    > preoccupato per qualche sw open che ti sei
    > "asgarregato"
    > !!
    > Ah...la VM però che sia aggratis...ehm...open !!
    > Perchè "open" vuol dire fiducia
    > !!!


    400.000 installazioni e la patch me la devo scrivere io? incredibile... non riesco a crederci che una piccola azienda nella nebbiosa val padana adesso debba diventare mainteiner di un progetto che ha tutto il mondo, compresi grandi provider
    Non ho mai dovuto scrivere patch di software di altri, tutti i server apache, linux ecc, mai, sempre aggiornati
    non+autenticato
  • >
    > Panda rossa in questo momento non può risponderti
    > perchè anche lui sta facendo la stessa cosa sui
    > suoi mitici sorgenti / script su
    > sourceforge.
    >

    Pandarossa non può rispondere adesso perché le dita gli stanno già prudendo per il bug su Sierra. Vorrebbe scriverlo qua mettendo la solita frase del palo ecc, ma siccome ha rotto le scatole ultimamente con il fatto di rimanere in tema adesso non può, almeno non oggi, poi tra qualche tempo ritorna ad andare OT come sempre.
    Avrà già scritto il post con latex, adesso sta aspettando con ansia che venga fuori la notizie e poi lo copia e incolla (prima mette offline il browser ovviamente!).
    non+autenticato