Ernstige kwetsbaarheid in Exim gevonden

Er is een ernstige kwetsbaarheid gevonden in de Exim message transfer agent (MTA). Er zijn nog geen updates beschikbaar, wel is er een workaround bekend gemaakt.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.03 #############################

Titel           : Ernstige kwetsbaarheid in Exim gevonden
Advisory ID     : NCSC-2017-1008
Versie          : 1.03
Kans            : high
CVE ID          : CVE-2017-16943
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Remote code execution (Gebruikersrechten)
Uitgiftedatum   : 20171130
Toepassing      : Exim Maintainers Exim
                  Exim PCRE
Versie(s)       : 
Platform(s)     : Canonical Ubuntu Linux
                  Debian Linux
                  FreeBSD FreeBSD

Update
   Debian heeft updates uitgebracht om de kwetsbaarheid te verhelpen.
   Zie "Mogelijke oplossingen" voor meer informatie.

Samenvatting
   Er is een ernstige kwetsbaarheid gevonden in de Exim message
   transfer agent (MTA). Er zijn nog geen updates beschikbaar, wel is
   er een workaround bekend gemaakt.

Gevolgen
   Een kwaadwillende kan op afstand de kwetsbaarheid mogelijk
   misbruiken om een Denial-of-Service te veroorzaken of om
   willekeurige code uit te voeren met de rechten van de gebruiker waar
   Exim onder draait.

Beschrijving
   Er is een kwetsbaarheid gevonden in Exim. Misbruik van de
   kwetsbaarheid kan leiden tot een Denial-of-Service of het uitvoeren
   van willekeurige code op afstand met de rechten van de gebruiker
   waaronder de Exim message transfer agent (MTA) draait.

Mogelijke oplossingen
   Er is alleen een broncodepatch beschikbaar gemaakt en er is een
   workaround bekend gemaakt die op beide kwetsbare versies werkt. Door
   onderstaande regel in het configuratiebestand van Exim toe te voegen
   wordt de SMTP CHUNKING extensie uitgeschakeld en is de kwetsbaarheid
   niet te misbruiken:
   
   chunking_advertise_hosts =
   (zonder parameters)
   
   -= Debian =-
   Debian heeft updates beschikbaar gesteld voor Debian 9.0 (Stretch)
   om de kwetsbaarheden te verhelpen. U kunt de aangepaste packages
   installeren door gebruik te maken van 'apt-get update' en 'apt-get
   upgrade'. Debian heeft met deze update ook een andere kwetsbaarheid
   verholpen in Exim, dit betreft een Denial-of-Service kwetsbaarheid
   met CVE-2017-16944. Meer informatie kunt u vinden op onderstaande
   pagina:
   
   https://www.debian.org/security/2017/dsa-4053
   
   -= FreeBSD =-
   FreeBSD heeft updates beschikbaar gesteld om de kwetsbaarheid te
   verhelpen in exim. U kunt deze updates installeren uit de FreeBSD
   ports. Meer informatie over deze updates vindt u op:
   
   http://www.vuxml.org/freebsd
      /68b29058-d348-11e7-b9fe-c13eb7bcbf4f.html
   
   -= Ubuntu =-
   Ubuntu heeft updates beschikbaar gesteld voor Ubuntu 17.04 en 17.10
   om de kwetsbaarheid te verhelpen. U kunt de aangepaste packages
   installeren door gebruik te maken van 'apt-get update' en 'apt-get
   upgrade'. Meer informatie kunt u vinden op onderstaande pagina:
   
   https://usn.ubuntu.com/usn/usn-3493-1/

Hyperlinks
   https://lists.exim.org/lurker/message
      /20171125.034842.d1d75cac.en.html
   https://isc.sans.edu/diary/rss/23069

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.1 (Build 777)
Charset: utf-8
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=ElJq
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2017

Nederland digitaal veilig