News Ticker

Bug in Exim, a rischio oltre il 50% dei mailserver

Durante il giorno del Ringraziamento, un ricercatore taiwanese della Devcore, società che si occupa di sicurezza informatica, ha riportato un bug al team che si occupa dello sviluppo e del mantenimento di Exim, popolarissimo MTA (Mail Transfer Agent) sui server *nix.

Il bug è stato identificato come CVE-2017-16943 ed impatta le versioni più recenti di Exim, la 4.88 e la 4.89, e sfrutta una vulnerabilità use-after-free (riguardante la memoria).

Il bug affligge la funzionalità di “chunking” che Exim utilizza per frammentare le mail ed inviarle. Per effettuare il chunking l’MTA utilizza dei comandi speciali, tra cui l’incriminato BDAT che non viene interpretato correttamente creando la situazione ideale per una Remote Code Execution.

Exim è diffusissimo ed il chunking non è di certo una feature sconosciuta, infatti al momento Shodan mostra online oltre 400.000 server afflitti da questo bug.

Phil Pennock, sviluppatore di Exim, ha avvisato della disponibilità di una piccola patch temporanea (comunque non ancora confermata) in attesa che il problema venga definitivamente risolto con la versione 4.90:

If you are running Exim 4.88 or newer (4.89 is current, 4.90 is upcoming) then in the main section of your Exim configuration, set:

chunking_advertise_hosts =

That’s an empty value, nothing on the right of the equals. This disables advertising the ESMTP CHUNKING extension, making the BDAT verb unavailable and avoids letting an attacker apply the logic.

Se state utilizzando la versione 4.88 di Exim o superiore (4.89 è quella attuale, la 4.90 sarà la prossima) nella sezione principale della configurazione Exim è necessario impostare:

chunking_advertise_hosts =

Il campo deve essere vuoto, nulla a destra dell’uguale. Questo disabilita l’ estensione ESMTP CHUNKING, rendendo il comando BDAT non disponibile evitando così che qualcuno possa sfruttarne la vulnerabilità.

Inutile ribadire che la criticità è alta e che la patch, seppur temporanea, va applicata. Per il resto, non resta che aspettare la nuova versione 4.90, in rilascio nelle prossime settimane.