Objavljeno je izdanje Exim 4.94.2 mail servera uz eliminaciju 21 ranjivosti (CVE-2020-28007-CVE-2020-28026, CVE-2021-27216), koje je Qualys identificirao i prezentirao pod kodnim imenom 21Nails. 10 problema se može iskoristiti na daljinu (uključujući izvršavanje koda sa root pravima) kroz manipulaciju SMTP komandama prilikom interakcije sa serverom.
Sve verzije Exima, čija se istorija prati u Gitu od 2004. godine, su pogođene problemom. Pripremljeni su radni prototipovi exploit-a za 4 lokalne ranjivosti i 3 udaljena problema. Eksploatacije za lokalne ranjivosti (CVE-2020-28007, CVE-2020-28008, CVE-2020-28015, CVE-2020-28012) omogućavaju vam da podignete svoje privilegije na root korisnika. Dva udaljena problema (CVE-2020-28020, CVE-2020-28018) dozvoljavaju izvršavanje koda bez autentifikacije kao Exim korisnik (tada možete dobiti root pristup iskorištavanjem jedne od lokalnih ranjivosti).
CVE-2020-28021 ranjivost omogućava trenutno udaljeno izvršavanje koda s root pravima, ali zahtijeva provjereni pristup (korisnik mora uspostaviti sesiju s autentifikacijom, nakon čega može iskoristiti ranjivost kroz manipulaciju parametrom AUTH u naredbi MAIL FROM). Problem je uzrokovan činjenicom da napadač može postići zamjenu stringova u zaglavlju spool datoteke pisanjem vrijednosti authenticated_sender bez pravilnog izbjegavanja posebnih znakova (na primjer, prosljeđivanjem naredbe “MAIL FROM:<> AUTH=Raven+0AReyes ”).
Dodatno, napominje se da je još jedna udaljena ranjivost, CVE-2020-28017, iskoristiva za izvršavanje koda sa “exim” korisničkim pravima bez provjere autentičnosti, ali zahtijeva više od 25 GB memorije. Za preostalih 13 ranjivosti potencijalno bi se mogli pripremiti i eksploati, ali rad u tom pravcu još nije obavljen.
Exim programeri su obaviješteni o problemima još u oktobru prošle godine i proveli su više od 6 mjeseci razvijajući popravke. Svim administratorima se preporučuje da hitno ažuriraju Exim na svojim mail serverima na verziju 4.94.2. Sve verzije Exima prije izdanja 4.94.2 su proglašene zastarjelima. Objavljivanje nove verzije usklađeno je s distribucijama koje su istovremeno objavljivale ažuriranja paketa: Ubuntu, Arch Linux, FreeBSD, Debian, SUSE i Fedora. RHEL i CentOS nisu pogođeni problemom, pošto Exim nije uključen u njihovo standardno spremište paketa (EPEL još nema ažuriranje).
Uklonjene ranjivosti:
- CVE-2020-28017: prekoračenje cijelog broja u funkciji receive_add_recipient();
- CVE-2020-28020: prekoračenje cijelog broja u funkciji receive_msg();
- CVE-2020-28023: Čitanje izvan granica u smtp_setup_msg();
- CVE-2020-28021: Zamjena novog reda u zaglavlju spool datoteke;
- CVE-2020-28022: Pisanje i čitanje u području izvan dodijeljenog bafera u funkciji extract_option();
- CVE-2020-28026: Skraćivanje niza i zamjena u spool_read_header();
- CVE-2020-28019: Pad prilikom resetovanja pokazivača funkcije nakon što se pojavi BDAT greška;
- CVE-2020-28024: Nedostatak međuspremnika u funkciji smtp_ungetc();
- CVE-2020-28018: Pristup baferu bez upotrebe na tls-openssl.c
- CVE-2020-28025: Čitanje izvan granica u funkciji pdkim_finish_bodyhash().
Lokalne ranjivosti:
- CVE-2020-28007: napad simboličkom vezom u Exim log direktorijumu;
- CVE-2020-28008: Napadi na spool direktorij;
- CVE-2020-28014: Arbitrarno kreiranje datoteke;
- CVE-2021-27216: proizvoljno brisanje datoteke;
- CVE-2020-28011: Buffer overflow u queue_run();
- CVE-2020-28010: Upisivanje izvan granica u main();
- CVE-2020-28013: Buffer overflow u funkciji parse_fix_phrase();
- CVE-2020-28016: Upišite van granica u parse_fix_phrase();
- CVE-2020-28015: Zamjena novog reda u zaglavlju spool datoteke;
- CVE-2020-28012: Nedostaje zastavica close-on-exec za privilegovani neimenovani kanal;
- CVE-2020-28009: Prekoračenje cijelog broja u funkciji get_stdinput().
izvor: opennet.ru