Vulnerabilidad Exim: Los riesgos y como protegerte
Exim un servidor de correo de código abierto, que podemos considerar como el más utilizado en internet, dada su gran popularidad y que está presente en servidores con paneles de control como cPanel o Directadmin, así como también, el MTA por defecto en varias distribuciones de GNU/Linux como Debian, por ejemplo. Es por ello que la vulnerabilidad exim es tan critica.
La vulnerabilidad aprovecha un fallo en la función “deliver-message”, mediante la cual, un atacante podría ejecutar código arbitrario con privilegios de root.
Esta grave vulnerabilidad exim fue descubierta por investigadores de la firma Qualys, auditando versiones antiguas de exim.
No obstante, la vulnerabilidad fue resuelta ANTES de ser descubierta, dado que como dato curioso, los desarrolladores de Exim liberaron una versión en febrero que no contenía la vulnerabilidad, sin ser conscientes de ello.
Consulta nuestros productos aquí: Nuestros Productos
Contenidos
¿A que versiones afecta la vulnerabilidad exim?
La vulnerabilidad exim, con referencia CVE-2019-10149, afecta a las versiones de Exim 4.87 a 4.91, ambas incluidas. Si tu servidor utiliza una de estas versiones, tu servidor es vulnerable.
¿Como puedo saber que versión utilizo de exim?
Para saber que versión de exim utiliza tu servidor, debes loguearte como root por SSH, e introducir uno de los siguientes códigos:
1 | exim --version |
Este código debería mostrar una salida similar a esta:
1 2 3 | [root@test test]# exim --version Exim version 4.92 #2 built 11-Feb-2019 20:00:00 Copyright (c) University of Cambridge, 1995 - 2018 |
Como se puede observar, en la prueba anterior, el servidor exim ya utiliza la nueva versión, por lo que NO es vulnerable. En el caso de mostrar cualquiera de las versiones vulnerables (de la 4.87 a la 4.91, ambas inclusive), si deberíamos tomar medidas.
Además, otra de las particularidades a saber, es que WHM/cPanel ha parcheado también versiones antiguas. Por lo tanto, si utilizas WHM/cPanel, puedes ejecutar el siguiente código:
1 | rpm -q exim |
Si la respuesta a ese comando, es una de las siguientes:
1 2 3 | exim-4.92-1.cp1178.x86_64 exim-4.92-1.cp1180.x86_64 exim-4.91-4.cp1170.x86_64 |
Tu servidor está parcheado correctamente. Es importante destacar, que en el caso anterior, vemos como la versión 4.91, que está afectada por la vulnerabilidad, la marcamos como segura. Esto es, porque cPanel ha parcheado esta versión en particular, para sus versiones mas antiguas del panel de control (cPanel 70 a 76).
¿Que debemos hacer si nuestro servidor está afectado?
La respuesta es actualizar. Y la forma de hacerlo, es sencilla.
Si nuestro servidor es Debian o Ubuntu, o está basado en estas distribuciones, podemos actualizar de la siguiente forma:
1 2 | sudo apt-get update sudo apt-get upgrade or sudo apt-get install exim4 |
En caso de que nuestro servidor sea CentOS o este basado en RedHat, puedes utilizar:
1 | yum update exim |
Para distribuciones Fedora:
1 | sudo dnf update |
En el caso de tener un panel de control WHM / cPanel, generalmente, el parche se aplicará de forma automática, o bien, puedes forzar la actualización con:
1 | /scripts/upcp |
Otro de los paneles que monta exim, es Directadmin. Te indicamos como actualizar exim en estos paneles:
1 2 3 4 | cd /usr/local/directadmin/custombuild ./build update ./build set exim yes ./build exim |
Conclusión
Como se puede observar, es una vulnerabilidad muy importante, que puede generar muchos problemas a nuestro sistema. ¡Actualiza cuanto antes! Recuerda, que si tienes un servidor dedicado o VPS administrado con nosotros, todo esto lo hacemos por ti. Nos preocupamos por la seguridad de tu servidor. Nosotros nos ocupamos de todo, de las grandes vulnerabilidades, y las pequeñas para que tú duermas tranquilo.
