[technique] [cert-fr.cossi at ssi.gouv.fr: [ANSSI - CERT-FR ] [TLP WHITE] Alerte relative à une vulnérabilité sur le logiciel EXIM CVE-2019-10149- [RM#1026213]]

Matthieu Herrb matthieu at herrb.eu
Sam 15 Juin 23:09:19 CEST 2019 

Bonjour,

Vous avez peut-être entendu parler de la faille d'exim, le serveur SMTP
(le protocole du mail) installé par défaut sur Debian. 

Si vous avez un serveur hébergé ou une machine virtuelle chez
Tetaneutral, sous Debian 9 (Stretch) et avec exim installé, merci de
vérifier que vous avez fait la mise à jour d'exim pour boucher la
faille.

À noter que Même si vous n'avez pas configuré explicitement de serveur
de mail, il est possible qu'Exim soit installé et actif.

Pour vérifier si exim est installé

# dpkg-query -l exim4

Si c'est le cas

# apt install --only-upgrade exim4

permet de faire la mise à jour.

Pour plus d'infos, consultez les références données dans le message
de l'ANSSI ci-dessous.


----- Forwarded message from ANSSI - CERT-FR <cert-fr.cossi at ssi.gouv.fr> -----

To: question at tetaneutral.net
From: ANSSI - CERT-FR <cert-fr.cossi at ssi.gouv.fr>
Subject: [ANSSI - CERT-FR ] [TLP WHITE] Alerte relative à une vulnérabilité
	sur le logiciel EXIM CVE-2019-10149- [RM#1026213]
Date: Sat, 15 Jun 2019 21:34:27 +0200

Paris, le 15/06/2019

Madame, Monsieur,

L’'Agence nationale de la sécurité des systèmes d’information (ANSSI) est un service à compétence nationale rattaché au secrétariat général de la défense et de la sécurité nationale (SGDSN), 
créée par le décret n° 2009-834 du 7 juillet 2009. Elle est l'autorité nationale en matière de sécurité et de défense des systèmes d’information.
Le centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) contribue à la mise en œoeuvre de la fonction d'autorité de défense des systèmes d'information de l'ANSSI. 
À ce titre il apporte son soutien en matière de gestion d'incidents de sécurité informatique aux administrations et services au public, aux entreprises quelle que soit leur taille, ainsi qu'aux particuliers. 
En tant que CERT national, il est le point de contact international privilégié pour tout incident de nature cyber touchant la France. Il assure une permanence de ses activités 24h/24, 7j/7.

Le 5 juin 2019, Exim a publié un correctif de sécurité pour la vulnérabilité CVE-2019-10149. Ce logiciel est une passerelle de courriels de type mail transfer agent (MTA) dont un usage possible est d'être positionné de manière frontale sur Internet 
et de redistribuer les courriels en interne. La vulnérabilité permet une exécution de commande sans authentification avec les privilèges d'administrateur. Cette vulnérabilité est exploitable localement et à distance, y compris sur les configurations par défaut du logiciel.
L'exploitation de cette vulnérabilité ne requiert aucune compétence spécifique, les informations nécessaires à son exploitation sont librement accessibles sur Internet et de nombreuses sources rapportent des tentatives automatisées d'exploitation.

Exim a corrigé cette vulnérabilité dans la version 4.92 publiée en février 2019, mais l'identification de la vulnérabilité et la mise à disposition de correctifs pour les versions antérieures n'a été réalisée que début juin.

Une recherche des services Exim antérieurs à la version 4.92 a été réalisée à travers le service SHODAN le 12/06/2019. Vous disposiez à la date du scan par ce service d'une version potentiellement vulnérable. 
En effet, il n'est pas possible de distinguer si les correctifs ont été appliqués à partir de ce service.

Il est important de désactiver les services inutiles afin de réduire la surface d'attaque et de mettre à jour les services accessibles depuis Internet dès qu'un correctif est publié.

Le CERT-FR a publié un avis de sécurité le 6 juin 2019 et une alerte le 11 juin disponible sur le site https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-252 et https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-009 

En cas de suspicions de compromission sur des équipements, merci d'alerter l'ANSSI qui vous indiquera les actions à entreprendre.

« Si vous estimez que ce message n’est pas envoyé au bon contact au sein de votre entreprise, ou si vous estimez n'avoir aucune capacité interne pour traiter ce message, merci de nous en avertir afin que nous puissions le prendre en compte. »

Référence à rappeler dans le cadre de vos échanges avec l'ANSSI : [RM#1026213]
-- 

ANSSI/COSSI/CERT-FR
Agence nationale de la sécurité des systèmes d'information
Centre opérationnel de la sécurité des systèmes d'information
Centre d'Expertise gouvernemental de Réponse et de Traitement des
Attaques informatiques
51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP
Tél. : +33 (0)1 71 75 84 68 - Fax : +33 (0)1 71 75 84 70
Mel : cert-fr.cossi at ssi.gouv.fr - Web : http://www.cert.ssi.gouv.fr

-- 
Ce message et toutes les pièces jointes (ci-après le "message") sont établis à l'intention exclusive de ses destinataires et sont confidentiels.
Si vous recevez ce message par erreur ou s'il ne vous est pas destiné, merci de le détruire ainsi que toute copie de votre système et d'en
avertir immédiatement l'expéditeur. Toute lecture non autorisée, toute utilisation de ce message qui n'est pas conforme à sa destination,
toute diffusion ou toute publication, totale ou partielle, est interdite et pourra faire l'objet de sanctions.
---------------------------------------------------------------------------------------------------------------------------------------------
This message and any attachments (the"message") is intended solely for the intended addressees and is confidential. If you receive this message
in error,or are not the intended recipient(s), please delete it and any copies from your systems and immediately notify the sender.
Any unauthorized view, use that does not comply with its purpose,dissemination or disclosure, either whole or partial, is prohibited
and may be subject to penalties.
s, veuillez contactercontact.rgpd at sgdsn.gouv.fr

-- 
ANSSI/SDO/CERT-FR
Agence nationale de la sécurité des systèmes d'information
Sous-Direction Opérations
Centre d'Expertise gouvernemental de Réponse et de Traitement des
Attaques informatiques
51, boulevard de La Tour-Maubourg - 75700 PARIS 07 SP
Tel : +33 (0)1 71 75 84 68 - Fax : +33 (0)1 71 75 84 70
Mel : cert-fr.cossi at ssi.gouv.fr - Web : http://www.cert.ssi.gouv.fr
--
Ce message et toutes les pieces jointes (ci-apres le "message") sont etablis a l'intention exclusive de ses destinataires et sont confidentiels.
Si vous recevez ce message par erreur ou s'il ne vous est pas destine,merci de le detruire ainsi que toute copie de votre systeme et d'en
avertir immediatement l'expediteur. Toute lecture non autorisee, toute utilisation de ce message qui n'est pas conforme a sa destination,
toute diffusion ou toute publication, totale ou partielle, est interdite et pourra faire l'objet de sanctions.
---------------------------------------------------------------------------------------------------------------------------------------------
This message and any attachments (the"message") is intended solely for the intended addressees and is confidential. If you receive this message
in error,or are not the intended recipient(s), please delete it and any copies from your systems and immediately notify the sender.
Any unauthorized view, use that does not comply with its purpose,dissemination or disclosure, either whole or partial, is prohibited
and may be subject to penalties.




----- End forwarded message -----

-- 
Matthieu Herrb
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 793 octets
Desc: non disponible
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20190615/19a2a67a/attachment.sig>

Plus d'informations sur la liste de diffusion technique