Актуализация на Exim 4.94.2, коригираща 10 уязвимости, които могат да се използват дистанционно

Изданието на пощенския сървър Exim 4.94.2 беше публикувано с елиминирането на 21 уязвимости (CVE-2020-28007-CVE-2020-28026, CVE-2021-27216), които бяха идентифицирани от Qualys и представени под кодовото име 21 Ноктите. 10 проблема могат да бъдат експлоатирани дистанционно (включително изпълнение на код с root права) чрез манипулиране на SMTP команди при взаимодействие със сървъра.

Всички версии на Exim, чиято история се проследява в Git от 2004 г. насам, са засегнати от проблема. Подготвени са работещи прототипи на експлойти за 4 локални уязвимости и 3 отдалечени проблема. Експлойти за локални уязвимости (CVE-2020-28007, CVE-2020-28008, CVE-2020-28015, CVE-2020-28012) ви позволяват да повишите привилегиите си до root потребителя. Два отдалечени проблема (CVE-2020-28020, CVE-2020-28018) позволяват кодът да бъде изпълнен без удостоверяване като потребител на Exim (след това можете да получите root достъп, като използвате една от локалните уязвимости).

Уязвимостта CVE-2020-28021 позволява незабавно дистанционно изпълнение на код с root права, но изисква удостоверен достъп (потребителят трябва да установи удостоверена сесия, след което може да използва уязвимостта чрез манипулиране на параметъра AUTH в командата MAIL FROM). Проблемът е причинен от факта, че атакуващият може да постигне заместване на низ в заглавката на спул файл, като напише стойността authenticated_sender, без да избягва правилно специалните знаци (например чрез предаване на командата „MAIL FROM:<> AUTH=Raven+0AReyes “).

Освен това се отбелязва, че друга отдалечена уязвимост, CVE-2020-28017, може да се използва за изпълнение на код с потребителски права „exim“ без удостоверяване, но изисква повече от 25 GB памет. За останалите 13 уязвимости потенциално също могат да бъдат подготвени експлойти, но работата в тази посока все още не е извършена.

Разработчиците на Exim бяха уведомени за проблемите през октомври миналата година и прекараха повече от 6 месеца в разработването на корекции. Препоръчва се на всички администратори спешно да актуализират Exim на своите пощенски сървъри до версия 4.94.2. Всички версии на Exim преди версия 4.94.2 са обявени за остарели. Публикуването на новата версия беше координирано с дистрибуции, които едновременно публикуваха актуализации на пакети: Ubuntu, Arch Linux, FreeBSD, Debian, SUSE и Fedora. RHEL и CentOS не са засегнати от проблема, тъй като Exim не е включен в тяхното стандартно хранилище на пакети (EPEL все още няма актуализация).

Премахнати уязвимости:

• CVE-2020-28017: Препълване на цели числа във функцията receive_add_recipient();
• CVE-2020-28020: Препълване на цели числа във функцията receive_msg();
• CVE-2020-28023: Четене извън границите в smtp_setup_msg();
• CVE-2020-28021: Заместване на нов ред в заглавката на файла на буфера;
• CVE-2020-28022: Записване и четене в област извън разпределения буфер във функцията extract_option();
• CVE-2020-28026: Отрязване и заместване на низ в spool_read_header();
• CVE-2020-28019: Срив при нулиране на функционален указател след възникване на BDAT грешка;
• CVE-2020-28024: Препълване на буфера във функцията smtp_ungetc();
• CVE-2020-28018: Използване след безплатен достъп до буфера в tls-openssl.c
• CVE-2020-28025: Четене извън границите във функцията pdkim_finish_bodyhash().

Локални уязвимости:

• CVE-2020-28007: Атака със символна връзка в директорията на журнала на Exim;
• CVE-2020-28008: Атаки върху директорията на спулинг;
• CVE-2020-28014: Създаване на произволен файл;
• CVE-2021-27216: Произволно изтриване на файл;
• CVE-2020-28011: Препълване на буфера в queue_run();
• CVE-2020-28010: Писане извън границите в main();
• CVE-2020-28013: Препълване на буфер във функция parse_fix_phrase();
• CVE-2020-28016: Писане извън границите в parse_fix_phrase();
• CVE-2020-28015: Заместване на нов ред в заглавката на файла на буфера;
• CVE-2020-28012: Липсва флаг за затваряне при изпълнение за привилегирован канал без име;
• CVE-2020-28009: Препълване на цели числа във функцията get_stdinput().

Източник: opennet.ru