templates/static/doc/security/CVE-2019-15846.txt

   1 CVE ID:     CVE-2019-15846
   2 Date:       2019-09-02 (CVE assigned)
   3 Credits:    Zerons <sironhide0null@gmail.com> for the initial report
   4             Qualys https://www.qualys.com/ for the analysis
   5 Version(s): all versions up to and including 4.92.1
   6 Issue:      A local or remote attacker can execute programs with root
   7             privileges.
   8
   9 Conditions to be vulnerable
  10 ===========================
  11
  12 If your Exim server accepts TLS connections, it is vulnerable. This does
  13 not depend on the TLS libray, so both, GnuTLS and OpenSSL are affected.
  14
  15 Details
  16 =======
  17
  18 The vulnerability is exploitable by sending a SNI ending in a
  19 backslash-null sequence during the initial TLS handshake. The exploit
  20 exists as a POC.
  21
  22 For more details see doc/doc-txt/cve-2019-15846/ in the source code
  23 repository.
  24
  25 Mitigation
  26 ==========
  27
  28 Do not offer TLS. (This mitigation is not recommended.)
  29
  30 For a attacking TLS client the following ACL snippet should work:
  31
  32     # to be prepended to your mail acl (the ACL referenced
  33     # by the acl_smtp_mail main config option)
  34     deny    condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}
  35     deny    condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}
  36
  37 Fix
  38 ===
  39
  40 Download and build a fixed version:
  41
  42     Tarballs: https://ftp.exim.org/pub/exim/exim4/
  43     Git:      https://github.com/Exim/exim.git
  44               - tag    exim-4.92.2
  45               - branch exim-4.92.2+fixes
  46
  47 The tagged commit is the officially released version. The +fixes branch
  48 isn't officially maintained, but contains the security fix *and* useful
  49 fixes.
  50
  51 If you can't install the above versions, ask your package maintainer for
  52 a version containing the backported fix. On request and depending on our
  53 resources we will support you in backporting the fix.  (Please note,
  54 the Exim project officially doesn't support versions prior the current
  55 stable version.)
  56
  57 Timeline
  58 --------
  59
  60 2019-07-21  - Report from Zerons to security@exim.org
  61 ....-..-..  - Analysis by Qualys
  62             - Fix and tests
  63 2019-09-02  - CVE assigned
  64 2019-09-03  - Details to distros@vs.openwall.org, exim-maintainers@exim.org
  65             - Grant access to the security repo
  66 2019-09-04  - Heads-Up to oss-security@lists.openwall.com, exim-users@exim.org
  67 2019-09-06  - 10.00 UTC Coordinated Release Date
  68             - Disclosure to oss-security, exim-users, public repositories