Mae rhyddhau gweinydd post Exim 4.94.2 wedi'i gyhoeddi gyda dileu 21 o wendidau (CVE-2020-28007-CVE-2020-28026, CVE-2021-27216), a nodwyd gan Qualys a'u cyflwyno o dan yr enw cod 21 Ewinedd. Gellir manteisio ar 10 problem o bell (gan gynnwys gweithredu cod gyda hawliau gwraidd) trwy drin gorchmynion SMTP wrth ryngweithio â'r gweinydd.
Mae pob fersiwn o Exim, y mae ei hanes wedi'i olrhain yn Git ers 2004, yn cael ei effeithio gan y broblem. Mae prototeipiau gweithredol o orchestion wedi'u paratoi ar gyfer 4 bregusrwydd lleol a 3 phroblem anghysbell. Mae manteision ar gyfer gwendidau lleol (CVE-2020-28007, CVE-2020-28008, CVE-2020-28015, CVE-2020-28012) yn caniatáu ichi godi'ch breintiau i'r defnyddiwr gwraidd. Mae dau fater o bell (CVE-2020-28020, CVE-2020-28018) yn caniatáu gweithredu cod heb ddilysu fel defnyddiwr Exim (gallwch wedyn gael mynediad gwraidd trwy fanteisio ar un o'r gwendidau lleol).
Mae bregusrwydd CVE-2020-28021 yn caniatáu gweithredu cod o bell ar unwaith gyda hawliau gwraidd, ond mae angen mynediad dilys (rhaid i'r defnyddiwr sefydlu sesiwn ddilysu, ac ar ôl hynny gallant fanteisio ar y bregusrwydd trwy drin y paramedr AUTH yn y gorchymyn MAIL FROM). Achosir y broblem gan y ffaith y gall ymosodwr amnewid llinyn ym mhennyn ffeil sbŵl trwy ysgrifennu'r gwerth authenticated_sender heb ddianc rhag nodau arbennig yn iawn (er enghraifft, trwy basio'r gorchymyn “MAIL FROM:<> AUTH=Raven+0AReyes ”).
Yn ogystal, nodir y gellir manteisio ar wendid anghysbell arall, CVE-2020-28017, i weithredu cod gyda hawliau defnyddiwr “exim” heb ddilysu, ond mae angen mwy na 25 GB o gof arno. Ar gyfer y 13 o wendidau sy'n weddill, mae'n bosibl y gellid paratoi campau hefyd, ond nid yw gwaith i'r cyfeiriad hwn wedi'i wneud eto.
Hysbyswyd datblygwyr Exim o'r problemau yn ôl ym mis Hydref y llynedd a threulio mwy na 6 mis yn datblygu atebion. Argymhellir bod pob gweinyddwr yn diweddaru Exim ar frys ar eu gweinyddion post i fersiwn 4.94.2. Mae pob fersiwn o Exim cyn rhyddhau 4.94.2 wedi'i ddatgan yn anarferedig. Cydlynwyd cyhoeddi'r fersiwn newydd â dosbarthiadau a oedd yn cyhoeddi diweddariadau pecyn ar yr un pryd: Ubuntu, Arch Linux, FreeBSD, Debian, SUSE a Fedora. Nid yw'r broblem yn effeithio ar RHEL a CentOS, gan nad yw Exim wedi'i gynnwys yn eu storfa becynnau safonol (nid oes gan EPEL ddiweddariad eto).
Gwendidau wedi'u dileu:
- CVE-2020-28017: Cyfanrif gorlif yn y swyddogaeth receive_add_recipient();
- CVE-2020-28020: Gorlif cyfanrif yn y swyddogaeth receive_msg();
- CVE-2020-28023: Darllen y tu allan i ffiniau yn smtp_setup_msg();
- CVE-2020-28021: Amnewid llinell newydd ym mhennyn ffeil sbŵl;
- CVE-2020-28022: Ysgrifennu a darllen mewn ardal y tu allan i'r byffer a neilltuwyd yn y swyddogaeth extract_option();
- CVE-2020-28026: Torri llinynnau ac amnewid yn spool_read_header();
- CVE-2020-28019: Cwymp wrth ailosod pwyntydd swyddogaeth ar ôl i wall BDAT ddigwydd;
- CVE-2020-28024: Tanlif byffer yn y swyddogaeth smtp_ungetc();
- CVE-2020-28018: Mynediad byffer di-ddefnydd ar ôl yn tls-openssl.c
- CVE-2020-28025: Darlleniad all-derfynol yn y swyddogaeth pdkim_finish_bodyhash().
Gwendidau lleol:
- CVE-2020-28007: Ymosodiad cyswllt symbolaidd yn y cyfeiriadur log Exim;
- CVE-2020-28008: Ymosodiadau cyfeiriadur sbŵl;
- CVE-2020-28014: Creu ffeiliau mympwyol;
- CVE-2021-27216: Dileu ffeil mympwyol;
- CVE-2020-28011: gorlif byffer yn ciw_run();
- CVE-2020-28010: All-derfynol yn ysgrifennu yn y prif ();
- CVE-2020-28013: gorlif byffer yn swyddogaeth parse_fix_phrase();
- CVE-2020-28016: All-derfynol yn ysgrifennu yn parse_fix_phrase();
- CVE-2020-28015: Amnewid llinell newydd ym mhennyn ffeil sbŵl;
- CVE-2020-28012: Baner close-on-exec ar goll ar gyfer pibell freintiedig heb ei henw;
- CVE-2020-28009: Gorlif cyfanrif yn y swyddogaeth get_stdinput().
Ffynhonnell: opennet.ru