S'ha publicat el llançament del servidor de correu Exim 4.94.2 amb l'eliminació de 21 vulnerabilitats (CVE-2020-28007-CVE-2020-28026, CVE-2021-27216), que van ser identificades per Qualys i presentades amb el nom de codi. 21 Ungles. 10 problemes es poden explotar de forma remota (inclosa l'execució de codi amb drets d'arrel) mitjançant la manipulació d'ordres SMTP quan s'interacciona amb el servidor.
Totes les versions d'Exim, l'historial de les quals es fa un seguiment a Git des del 2004, es veuen afectades pel problema. S'han preparat prototips d'explotacions de treball per a 4 vulnerabilitats locals i 3 problemes remots. Els exploits per a vulnerabilitats locals (CVE-2020-28007, CVE-2020-28008, CVE-2020-28015, CVE-2020-28012) us permeten elevar els vostres privilegis a l'usuari root. Dos problemes remots (CVE-2020-28020, CVE-2020-28018) permeten executar codi sense autenticació com a usuari Exim (a continuació, podeu obtenir accés root mitjançant l'explotació d'una de les vulnerabilitats locals).
La vulnerabilitat CVE-2020-28021 permet l'execució immediata de codi remota amb drets root, però requereix un accés autenticat (l'usuari ha d'establir una sessió autenticada, després de la qual pot explotar la vulnerabilitat mitjançant la manipulació del paràmetre AUTH de l'ordre MAIL FROM). El problema és causat pel fet que un atacant pot aconseguir la substitució de cadenes a la capçalera d'un fitxer spool escrivint el valor authenticated_sender sense escapar correctament els caràcters especials (per exemple, passant l'ordre "MAIL FROM:<> AUTH=Raven+0AReyes). ”).
A més, s'observa que una altra vulnerabilitat remota, CVE-2020-28017, és explotable per executar codi amb drets d'usuari "exim" sense autenticació, però requereix més de 25 GB de memòria. Per a les 13 vulnerabilitats restants, potencialment també es podrien preparar exploits, però encara no s'ha fet feina en aquesta direcció.
Els desenvolupadors d'Exim van ser notificats dels problemes l'octubre de l'any passat i van passar més de 6 mesos desenvolupant solucions. Es recomana a tots els administradors que actualitzin urgentment Exim als seus servidors de correu a la versió 4.94.2. Totes les versions d'Exim anteriors a la versió 4.94.2 s'han declarat obsoletes. La publicació de la nova versió es va coordinar amb distribucions que publicaven simultàniament actualitzacions de paquets: Ubuntu, Arch Linux, FreeBSD, Debian, SUSE i Fedora. RHEL i CentOS no es veuen afectats pel problema, ja que Exim no s'inclou al seu repositori de paquets estàndard (EPEL encara no té una actualització).
Vulnerabilitats eliminades:
- CVE-2020-28017: desbordament d'enters a la funció receive_add_recipient();
- CVE-2020-28020: desbordament d'entiers a la funció receive_msg();
- CVE-2020-28023: lectura fora dels límits a smtp_setup_msg();
- CVE-2020-28021: substitució de nova línia a la capçalera del fitxer spool;
- CVE-2020-28022: escriviu i llegiu en una àrea fora de la memòria intermèdia assignada a la funció extract_option();
- CVE-2020-28026: Truncament i substitució de cadenes a spool_read_header();
- CVE-2020-28019: bloqueig en restablir un punter de funció després que es produeixi un error BDAT;
- CVE-2020-28024: desbordament de memòria intermèdia a la funció smtp_ungetc();
- CVE-2020-28018: accés a la memòria intermèdia lliure d'ús després a tls-openssl.c
- CVE-2020-28025: una lectura fora de límits a la funció pdkim_finish_bodyhash().
Vulnerabilitats locals:
- CVE-2020-28007: atac d'enllaç simbòlic al directori de registre d'Exim;
- CVE-2020-28008: atacs al directori spool;
- CVE-2020-28014: Creació d'expedient arbitrari;
- CVE-2021-27216: Supressió arbitrària de fitxers;
- CVE-2020-28011: desbordament de memòria intermèdia a queue_run();
- CVE-2020-28010: escriptura fora dels límits a main();
- CVE-2020-28013: desbordament de memòria intermèdia a la funció parse_fix_phrase();
- CVE-2020-28016: escriviu fora dels límits a parse_fix_phrase();
- CVE-2020-28015: substitució de nova línia a la capçalera del fitxer spool;
- CVE-2020-28012: falta el senyalador de close-on-exec per a una canonada sense nom privilegiada;
- CVE-2020-28009: desbordament d'enters a la funció get_stdinput().
Font: opennet.ru