exim Mailserver --> Sicherheitslücke

[mistersixt]

An alle, die exim als Mailserver im Einsatz haben:

https://www.zerodayinitiative.com/advis ... I-23-1469/

"This vulnerability allows remote attackers to execute arbitrary code on affected installations of Exim. Authentication is not required to exploit this vulnerability."

[michaa7]

Danke für die Warnung.

Bei mir läuft exim4 lokal auf dem Desktop. Mails hole ich per fetchmail von meinen mailaccounts im Netz, und frage sie lokal mit den üblichen clienten per dovecot-imap ab. Versenden tue ich direkt aus den clienten mit kopie ins imap-sent folder.

Ich habe exim4 damals über eine eingabemaske eingerichtet mit einigen wenigen abfragen. Und ich bin mir sehr sicher nur lokalen Zugriff (192.168.x.y) eingerichtet zu haben. Eben versuche ich unter /etc/exim4/conf.d/* eben genau dies zu finden ... aber das ist ein Labyrinth.

Jemand nen Tip in welcher Config Datei die erlaubten IPs zu finden sind?

[MSfree]

Mails hole ich per fetchmail von meinen mailaccounts im Netz

Das ist aber keine Garantie, daß die Lücke nicht ausgenutzt werden kann.

So, wie ich das verstanden habe, reicht es, wenn fetchmail eine präparierte Email abholt und dann per SMTP an exim4 weiterreicht, um einen Pufferüberlauf in exim4 auszulösen.

[michaa7]

...
Das ist aber keine Garantie, daß die Lücke nicht ausgenutzt werden kann.
...

ääääähm .... und nu? keine mails mehr abholen? Anderen Mailserver installieren?

[chrbr]

Du könntest fetchmail konfigurieren, dass es Mail an einem MDA wie maildrop oder procmail weiterleitet, anstatt sie an den lokalen SMTP Server zu schicken. So weit ich mich erinnere sollte dafür fetchmail mit dem User Account laufen. Ansonsten gibt es Probleme mit den Rechten beim Ablegen der Mails.

[michaa7]

Du könntest fetchmail konfigurieren, dass es Mail an einem MDA wie maildrop oder procmail weiterleitet, anstatt sie an den lokalen SMTP Server zu schicken. So weit ich mich erinnere sollte dafür fetchmail mit dem User Account laufen. Ansonsten gibt es Probleme mit den Rechten beim Ablegen der Mails.

fetchmail läuft bei mir im useraccount. Das wäre nicht das problem. procmail möchte ich ausschließen wg. der Kommentare über schwierige config wie ich es unter "man fetchmail" gelesen habe.

Klemmt sich maildrop zwischen fetchmail und exim4? Oder ersetzt es exim4? Ich betreibe den lokalen mailserver um *unabhängig* vom verwendeten Clienten meine Mails lokal verfügbar zu halten. Mir ist nicht klar was maildrop -ausser das Sicherheitsproblem zu umschiffen- tut?

[chrbr]

Klemmt sich maildrop zwischen fetchmail und exim4? Oder ersetzt es exim4? Ich betreibe den lokalen mailserver um *unabhängig* vom verwendeten Clienten meine Mails lokal verfügbar zu halten. Mir ist nicht klar was maildrop -ausser das Sicherheitsproblem zu umschiffen- tut?

Maildrop umgeht exim4. Andererseits könnte exim4 auch lokale Mails an einen MDA abgeben.
Maildrop könnte Mails in verschiedene Ordner sortieren, zum Beispiel anhand von den Betreff Zeilen. Eine Konfiguration ~/.mailfilter wäre

Code: Alles auswählen

PATH=/usr/local/bin:/usr/bin:/bin
MAILDIR=$HOME/Maildir    #you’d better make sure it exists
DEFAULT=$HOME/Maildir/mbox      #you’d better make sure it exists
#logfile $HOME/Maildir/mailfilter.log

if (/^List-Id:.*debian-user-german.lists.debian.org/)
	to $MAILDIR/debian-user-german

Hier wird das MAILDIR Format verwendet. Mails mit der List-Id der deutschen Mailing Liste werden in einem extra Ordner abgelegt. Alles andere landet in ~/Maildir/mbox.

[MSfree]

ääääähm .... und nu? keine mails mehr abholen? Anderen Mailserver installieren?

Oder einfach ein paar Tage warten, bis es gefixt ist und mit

Code: Alles auswählen

apt-get update; apt-get dist-upgrade

eingespielt wird?

[michaa7]

ääääähm .... und nu? keine mails mehr abholen? Anderen Mailserver installieren?

Oder einfach ein paar Tage warten, bis es gefixt ist und mit

Code: Alles auswählen

apt-get update; apt-get dist-upgrade

eingespielt wird?

Klar.

Da habe ich das advisory falsch verstanden?

Code: Alles auswählen

DISCLOSURE TIMELINE	
2022-06-14 - Vulnerability reported to vendor
2023-09-27 - Coordinated public release of advisory

Ich hatte befürchtet dass es wg. &§%$"?)(&$% keinen fix geben könnte.

Holst du also solange keine mails?

[chrbr]

Bei mir läuft exim4 lokal auf dem Desktop. Mails hole ich per fetchmail von meinen mailaccounts im Netz, und frage sie lokal mit den üblichen clienten per dovecot-imap ab. Versenden tue ich direkt aus den clienten mit kopie ins imap-sent folder.

Ich verstehe die Funktion von exim so, daß er nur lokal auf Port 25 lauscht und Mails an den LDA (Local Delivery Agent = MDA) von dovecot ausliefert. Stimmt das so?
Dann könnte fetchmail auch direkt an dovecot ausliefern wie beschrieben in
https://otremba.net/wiki/How_to_Install ... _Fetchmail.
Jedenfalls interpretiere ich die Zeile so.

Code: Alles auswählen

mda "/usr/lib/dovecot/deliver -d <username@localhost> -m Sent"

[michaa7]

Ich habe jetzt erstmal fetchmail im autostart auskommentiert. Muß ich meine mails eben über das webinterface beim mailprovider kontrollieren. Mal abwarten ob Debian (oder die exim Leute) einen Fix auf die Beine bekommen ...

[michaa7]

Hoffentlich finden die patches möglichst bald Einzug in sid.

https://www.openwall.com/lists/oss-secu ... 23/09/29/5

[schwedenmann]

Hallo


das Ganze ist ja wohl absolut amateurhaft abgelaufen,wohl wollend formuliert.

1. Kontakt zu Exim über die Lücke
2. Exim Leute haben laut deren Ausasge zu wenog Infos bekommen
3. Exim Leute haben nicht nachgehakt
4. Haben auf Antwort gewarte,rund 1 jahr lang gewartet,

mfg
schwedenman

[michaa7]

gefixt in exim4 4.97~RC1-2

[MSfree]

Bookworm:

Code: Alles auswählen

apt-get update; apt-get dist-upgrade

hat mir gerade die Version 4.96.15+deb12u2 eingespielt.

[michaa7]

Überblick:
https://security-tracker.debian.org/tra ... kage/exim4

[fahllei]

Bei mir läuft exim4 lokal auf dem Desktop. Mails hole ich per fetchmail von meinen mailaccounts im Netz, und frage sie lokal mit den üblichen clienten per dovecot-imap ab. Versenden tue ich direkt aus den clienten mit kopie ins imap-sent folder.

Darf man dazu auch Fragen stellen - auch wenn man "noch" nichts zur Lösung beitragen kann

.... ohne den Beitrag entführen zu wollen?

Denn bis auf Exim habe ich eine ähnliche Konstellation

[bluestar]

Darf man dazu auch Fragen stellen - auch wenn man "noch" nichts zur Lösung beitragen kann

Du kannst doch einen neuen Thread mit deinen Fragen aufmachen.

Denn bis auf Exim habe ich eine ähnliche Konstellation

Bei Nicht Exim bin ich allerdings raus