Разкрита критична уязвимост на Exim

публикувани коригиращо освобождаване Пример 4.92.2 с елиминирането на критичните уязвимости (CVE-2019 15846-), което в конфигурацията по подразбиране може да доведе до дистанционно изпълнение на код от нападател с root права. Проблемът се появява само когато поддръжката на TLS е активирана и се използва чрез предаване на специално проектиран клиентски сертификат или модифицирана стойност към SNI. Уязвимост идентифицирани от Qualys.

проблем присъства в манипулатора за екраниране на специални знаци в низа (string_interpret_escape() от string.c) и се причинява от знака '\' в края на низа, който се интерпретира преди нулевия знак ('\0') и го избягва. При екраниране последователността '\' и следният нулев код за край на реда се третират като единичен знак и показалецът се измества към данни извън реда, които се третират като продължение на реда.

Кодът, извикващ string_interpret_escape(), разпределя буфер за изтичане въз основа на действителния размер и откритият указател завършва в област извън границите на буфера. Съответно, когато се опитвате да обработите входен низ, възниква ситуация при четене на данни от област извън границите на разпределения буфер и опит за запис на неекраниран низ може да доведе до запис извън границите на буфера.

В конфигурацията по подразбиране уязвимостта може да се използва чрез изпращане на специално проектирани данни до SNI при установяване на защитена връзка със сървъра. Проблемът може да се използва и чрез модифициране на peerdn стойности в конфигурации, конфигурирани за удостоверяване на клиентски сертификат или при импортиране на сертификати. Атаката чрез SNI и peerdn е възможна от пускането Пример 4.80, в който функцията string_unprinting() е използвана за отпечатване на peerdn и SNI съдържание.

Подготвен е прототип на експлойт за атака чрез SNI, работещ на i386 и amd64 архитектури на Linux системи с Glibc. Експлойтът използва наслагване на данни в областта на купчината, което води до презаписване на паметта, в която се съхранява името на регистрационния файл. Името на файла се заменя с "/../../../../../../../../etc/passwd". След това се презаписва променливата с адреса на подателя, която първо се записва в дневника, което ви позволява да добавите нов потребител към системата.

Актуализации на пакети с корекции на уязвимости, издадени от дистрибуции Debian, Ubuntu, Fedora, SUSE/openSUSE и FreeBSD. Проблем с RHEL и CentOS не е податлив, тъй като Exim не е включен в редовното им хранилище на пакети (в EPEL обновление вече образувани, но за сега не е поставен към публично хранилище). В кода на Exim проблемът е коригиран с едноредов текст пластир, което деактивира екраниращия ефект на обратната наклонена черта, ако е в края на реда.

Като заобиколно решение за блокиране на уязвимостта можете да деактивирате поддръжката на TLS или да добавите
ACL раздел „acl_smtp_mail“:

условие за отказ = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}
условие за отказ = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}

Източник: opennet.ru