Journal Multiples vulnérabilités dans exim4 (alerte de sécurité CERT-FR)

Posté par  (site web personnel) . Licence CC By‑SA.
14
3
oct.
2023

Le CERT-FR a publié hier l'alerte CERTFR-2023-ALE-010 invitant à mettre à jour l'agent email exim (si ça n'est pas fait automatiquement) et à mettre en place des mitigations si on est concerné par les failles non corrigées.

Exim4 est un agent mail qui permet d'envoyer et de recevoir des mails.

Les avis publiés par Zero Day Initiative contiennent assez peu d'informations et font peur : 23-1468, 23-1469, 23-1470, 23-1471, 23-1472 et 23-1473

La documentation officielle (exim.org/static/doc/security/CVE-2023-zdi.txt) détaille :
- Les 3 CVE corrigées concernent uniquement les installations d'exim où les clients s'authentifient via le mode EXTERNAL ou via SPA/NTLM.
- Une CVE concerne le cas où exim est derrière un proxy et où ce proxy est malveillant (documentation exim sur les proxies).
- Une CVE concerne le cas où des des règles d'accès font une requête SPF (a priori ce n'est pas la configuration par défaut).
- La dernière, CVE-2023-42219, passe par une réponse DNS invalide à une requête émise par Exim : si votre résolveur assure que les enregistrements DNS retournés sont bien formés, exim4 est protégé. Je ne sais pas si dnsmasq, unbound, systemd-resolve font ce type de validation.

lwn.net : Multiple Exim security vulnerabilities disclosed indique qu'il y a débat entre ZDI et le développeur d'exim sur la qualification et le traitement de ces vulnérabilités.

En résumé, seul le dernier point est problématique sur une configuration par défaut et peut vous toucher que vous utilisiez exim4 pour envoyer des mails ou pour en recevoir.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.