Vydání poštovního serveru Exim 4.94.2 bylo zveřejněno s odstraněním 21 zranitelností (CVE-2020-28007-CVE-2020-28026, CVE-2021-27216), které byly identifikovány společností Qualys a prezentovány pod kódovým označením 21 Nehty. 10 problémů lze zneužít vzdáleně (včetně spouštění kódu s právy root) prostřednictvím manipulace s příkazy SMTP při interakci se serverem.
Problém se týká všech verzí Eximu, jehož historie je v Gitu sledována od roku 2004. Pro 4 lokální zranitelnosti a 3 vzdálené problémy byly připraveny funkční prototypy exploitů. Exploits pro místní zranitelnosti (CVE-2020-28007, CVE-2020-28008, CVE-2020-28015, CVE-2020-28012) vám umožní povýšit vaše oprávnění na uživatele root. Dva vzdálené problémy (CVE-2020-28020, CVE-2020-28018) umožňují spouštění kódu bez ověření jako uživatel Exim (potom můžete získat přístup root zneužitím jedné z místních chyb zabezpečení).
Chyba zabezpečení CVE-2020-28021 umožňuje okamžité vzdálené spuštění kódu s právy root, ale vyžaduje ověřený přístup (uživatel musí vytvořit ověřenou relaci, po které může zranitelnost zneužít manipulací s parametrem AUTH v příkazu MAIL FROM). Problém je způsoben tím, že útočník může dosáhnout substituce řetězce v hlavičce spoolového souboru zapsáním hodnoty authenticated_sender, aniž by správně escapoval speciální znaky (například předáním příkazu „MAIL FROM:<> AUTH=Raven+0AReyes “).
Kromě toho je třeba poznamenat, že další vzdálená chyba zabezpečení, CVE-2020-28017, je zneužitelná ke spouštění kódu s uživatelskými právy „exim“ bez ověření, ale vyžaduje více než 25 GB paměti. Pro zbývajících 13 zranitelností by potenciálně mohly být připraveny také exploity, ale práce v tomto směru zatím nebyly provedeny.
Vývojáři Eximu byli na problémy upozorněni již v říjnu minulého roku a strávili více než 6 měsíců vývojem oprav. Všem správcům se doporučuje urychleně aktualizovat Exim na svých poštovních serverech na verzi 4.94.2. Všechny verze Exim před vydáním 4.94.2 byly prohlášeny za zastaralé. Publikování nové verze bylo koordinováno s distribucemi, které současně vydávaly aktualizace balíčků: Ubuntu, Arch Linux, FreeBSD, Debian, SUSE a Fedora. RHEL a CentOS nejsou tímto problémem ovlivněny, protože Exim není součástí jejich standardního úložiště balíčků (EPEL zatím nemá aktualizaci).
Odstraněné chyby zabezpečení:
- CVE-2020-28017: Přetečení celého čísla ve funkci accept_add_recipient();
- CVE-2020-28020: Přetečení celého čísla ve funkci příjem_msg();
- CVE-2020-28023: Mimo hranice čtení v smtp_setup_msg();
- CVE-2020-28021: Nahrazení nového řádku v záhlaví souboru pro souběžný tisk;
- CVE-2020-28022: Zápis a čtení v oblasti mimo přidělenou vyrovnávací paměť ve funkci extract_option();
- CVE-2020-28026: Zkrácení a nahrazení řetězce v spool_read_header();
- CVE-2020-28019: Selhání aplikace při resetování ukazatele funkce po výskytu chyby BDAT;
- CVE-2020-28024: Podtečení vyrovnávací paměti ve funkci smtp_ungetc();
- CVE-2020-28018: Bezplatný přístup k vyrovnávací paměti v tls-openssl.c
- CVE-2020-28025: Omezené čtení ve funkci pdkim_finish_bodyhash().
Místní zranitelnosti:
- CVE-2020-28007: Symbolický útok na odkaz v adresáři protokolu Exim;
- CVE-2020-28008: Útoky na zařazovací adresář;
- CVE-2020-28014: Vytváření libovolného souboru;
- CVE-2021-27216: Libovolné smazání souboru;
- CVE-2020-28011: Přetečení vyrovnávací paměti ve queue_run();
- CVE-2020-28010: Zapisování mimo hranice v main();
- CVE-2020-28013: Přetečení vyrovnávací paměti ve funkci parse_fix_phrase();
- CVE-2020-28016: Zapisování mimo hranice v parse_fix_phrase();
- CVE-2020-28015: Nahrazení nového řádku v záhlaví souboru pro souběžný tisk;
- CVE-2020-28012: Chybějící příznak close-on-exec pro privilegovaný nepojmenovaný kanál;
- CVE-2020-28009: Přetečení celého čísla ve funkci get_stdinput().
Zdroj: opennet.ru