CVE-2019-10.149 is een kritiek beveiligingsprobleem in de Exim mail transfer agent (MTA) software. De fout ligt in Exim versies 4.87 aan 4.91 inclusief, en wordt beschreven als een onjuiste validatie van adres van de ontvanger in deliver_message() functie /src/deliver.c wat kan leiden tot externe uitvoering commando.
Hoe was CVE-2019-10.149 ontdekt?
Qualys onderzoekers kwam over de kwetsbaarheid opdracht tot uitvoering van externe tijdens het uitvoeren van een code review van de laatste wijzigingen in de Exim mailserver. In dit geval, RCE kwetsbaarheid kan een aanvaller willekeurige berichten met execv voeren(), als root. Opgemerkt dient te worden dat er geen geheugen corruptie of ROP (-Return Oriented Programming) is betrokken.
Volgens het rapport van de onderzoekers, CVE-2019-10.149 is exploiteerbare direct door een lokale aanvaller. Echter, het kan ook worden benut door een aanvaller in specifieke niet-standaardconfiguratie.
Een externe aanslag in de standaardconfiguratie de aanvaller vereist om een verbinding met de kwetsbare server open te houden 7 dagen, met de conditie van het verzenden van een byte om de paar minuten. Echter, als gevolg van de extreme complexiteit van Exim de code, de onderzoekers kan niet garanderen dat deze aanval scenario is uniek. Er kunnen ook efficiëntere methoden.
Vorig jaar, andere ernstige kwetsbaarheid werd ontdekt in Exim. De kwetsbaarheid opleverde, die als CVE-2018-6789 verbleef in alle versies van de Exim message transfer agent (meer bepaald in functie base64 decoderen) zonder de 4.90.1 versie.
De fout was een bufferoverloop een, waardoor servers het risico van aanvallen die kwaadaardige code kan uitvoeren. De bug kan worden misbruikt door speciaal vervaardigde invoer naar een server draait Exim. 400,000 bedienden waren op risico van de kwetsbaarheid.
Zoals voor CVE-2019-10.149, Shodan cijfers blijkt dat kwetsbare versies van Exim momenteel worden uitgevoerd op meer dan 4,800,000 machines. Het goede nieuws is dat CVE-2019-10.149 werd opgelapt door Exim in versie 4.92 van de software op februari 10.