Objet: Vulnérabilité dans Exim

Résumé

Le CERT-FR a connaissance de cas d'exploitation de la vulnérabilité CVE-2019-10149 qui affecte Exim et permet une exécution de commande arbitraire à distance.

Cette vulnérabilité est triviale à exploiter, d'autant plus que du code d'attaque est disponible publiquement sur internet.

Le CERT-FR recommande donc fortement l'application du correctif sorti le 05 juin 2019, et ce dans les plus brefs délais.

La commande suivante peut servir à détecter des tentatives d'exploitation en cherchant dans les journaux d'activités. Elle a été testée sur un système Debian avec une configuration par défaut.

[pastacode lang="bash" manual="grep%20'%24%7Brun'%20%2Fvar%2Flog%2Fexim4%2Fmainlog" message="" highlight="" provider="manual"/]

Exemples de sortie:

[pastacode lang="bash" manual="2019-06-11%2014%3A01%3A29%201hal5N-0001Hx-3T%20**%20%24%7Brun%3C%5BCOMMANDE%20EXECUTEE%5D%3E%7D%40localhost%3A%20Too%20many%20%22Received%22%20headers%20-%20suspected%20mail%20loop%0A2019-06-11%2014%3A02%3A14%201hal66-0001I7-MN%20**%20%24%7Brun%3C%5BCOMMANDE%20EXECUTEE%5D%3E%7D%40localhost%3A%20Too%20many%20%22Received%22%20headers%20-%20suspected%20mail%20loop%0A2019-06-11%2014%3A03%3A11%201hal70-0001IH-VN%20**%20%24%7Brun%3C%5BCOMMANDE%20EXECUTEE%5D%3E%7D%40localhost%3A%20Too%20many%20%22Received%22%20headers%20-%20suspected%20mail%20loop%0A2019-06-11%2014%3A07%3A44%201halBQ-0001Ij-2D%20**%20%24%7Brun%3C%5BCOMMANDE%20EXECUTEE%5D%3E%7D%40localhost%3A%20Too%20many%20%22Received%22%20headers%20-%20suspected%20mail%20loop" message="" highlight="" provider="manual"/]

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).