En sårbarhet i epostserverprogramvaren (egentlig MTA – Mail Transfer Agent) Exim gjør det mulig for uvedkommende å fjernkjøre vilkårlig kode på de berørte serverne. Sårbarheten skal i alle fall finnes i to av de nyeste versjonene av programvaren, 4.88 og 4.89.
Exim kjøres nok vanligvis på Linux-servere, men kan også kjøres på andre Unix-lignende systemer, inkludert MacOS og Cygwin for Windows.
Ifølge BleepingComputer er sårbarheten knyttet til «chunking»-funksjonaliteten til programvaren, som gjør det mulig å dele opp epost og sende den som flere biter («chunks»).
Fant ingen epostadresse
Både denne og en noe mindre alvorlig sårbarhet ble offentliggjort torsdag i forrige uke. Årsaken til offentliggjøringen skal ha vært at sikkerhetsforskeren som fant dem, ikke fant noen epostadresse til Exim-prosjektet. Derfor meldte han inn sårbarheten i prosjektets Bugzilla-system.
Dette betyr at sårbarhetene har vært kjent også for ondsinnede i flere dager. Sårbarhetene ble erklært fjernet fra kildekoden i går. Disse rettelsene skal være inkludert i versjon 4.89.1, som ennå ikke er utgitt.
Når denne utgivelsen skjer, vil det fortsatt kunne ta litt tid før oppdateringen blir tilgjengelig i form av nye pakker til de ulike Linux-distribusjonene.
Som en midlertidig løsning kan chunking-funksjonen deaktiveres ved å sette følgende linje inn i «main»-seksjonen av Exim-konfigurasjonen:
chunking_advertise_hosts =
Det skal ikke stå noe etter likhetstegnet.
Svært utbredt
Exim-programvaren er svært mye brukt. Ifølge en rapport fra Shodan, er det nesten 4,5 millioner slike servere som svarer på forespørsler over internett. Omtrent 6000 av disse hører hjemme i Norge.
Ifølge en undersøkelse gjort av Security Space, basert på svar på servere oppgitt i MX-oppføringene i DNS-opplysningene til ulike domener, benyttes Exim på mer enn 56 prosent av alle epostservere. Men denne undersøkelsen har betydelige feilkilder, blant annet ved at bare halvparten av de forespurte serverne identifiserte hva slags programvare som var i bruk.
Hvor mange av disse serverne som benytter de sårbare Exim-versjonene, er likevel uklart. Den eldste av de berørte utgavene, Exim 4.88, ble utgitt i desember i fjor.
