korjaava vapautus poistamalla kriittiset (), joka oletuskokoonpanossa voi johtaa koodin etäsuorittamiseen pääkäyttäjän oikeuksin omaavan hyökkääjän toimesta. Ongelma ilmenee vain, kun TLS-tuki on käytössä ja sitä hyödynnetään välittämällä erityisesti suunniteltu asiakassertifikaatti tai muutettu arvo SNI:lle. Haavoittuvuus kirjoittanut Qualys.
ongelma käsittelijässä merkkijonon erikoismerkkien välttämiseksi ( merkkijonosta.c) ja johtuu siitä, että merkkijonon lopussa oleva \-merkki tulkitaan ennen nollamerkkiä ('\0') ja pakottaa sen. Escape-koodia '\' ja sitä seuraavaa tyhjää rivin loppukoodia käsitellään yhtenä merkkinä ja osoitin siirretään rivin ulkopuoliseen dataan, jota käsitellään rivin jatkona.
Koodi, joka kutsuu string_interpret_escape(), varaa nielulle puskurin todellisen koon perusteella, ja paljastettu osoitin päätyy puskurin rajojen ulkopuolelle. Vastaavasti yritettäessä prosessoida syötemerkkijonoa syntyy tilanne, kun dataa luetaan varatun puskurin rajojen ulkopuolelta, ja yritys kirjoittaa merkkijonoa, jota ei ole pakotettu, voi johtaa puskurin rajojen ulkopuolelle kirjoittamiseen.
Oletuskokoonpanossa haavoittuvuutta voidaan hyödyntää lähettämällä erityisesti suunniteltuja tietoja SNI:lle suojattua yhteyttä muodostettaessa palvelimeen. Ongelmaa voidaan myös hyödyntää muokkaamalla peerdn-arvoja asiakkaan varmenteen todennusta varten määritetyissä konfiguraatioissa tai varmenteita tuottaessa. Hyökkäys SNI:n ja peerdn:n kautta on mahdollista julkaisusta alkaen , jossa string_unprinting()-funktiota käytettiin peerdn- ja SNI-sisällön tulostuksen poistamiseen.
SNI:n kautta tapahtuvaa hyökkäystä varten on valmisteltu hyväksikäyttöprototyyppi, joka toimii i386- ja amd64-arkkitehtuureissa Linux-järjestelmissä, joissa on Glibc. Hyödyntäminen käyttää tietopeittokuvaa kasa-alueella, mikä johtaa muistin päällekirjoittamiseen, johon lokitiedoston nimi on tallennettu. Tiedoston nimi korvataan nimellä "/../../../../../../../../etc/passwd". Seuraavaksi kirjoitetaan lähettäjän osoitteella varustettu muuttuja, joka tallennetaan ensin lokiin, jolloin järjestelmään voidaan lisätä uusi käyttäjä.
Jakelujen julkaisemat haavoittuvuuskorjaukset sisältävät pakettipäivitykset , , , и . RHEL- ja CentOS-ongelma , koska Exim ei sisälly heidän tavalliseen pakettivarastoon (in обновление , mutta toistaiseksi julkiseen arkistoon). Exim-koodissa ongelma on korjattu yksilinjaisella , joka poistaa kenoviivan poistovaikutuksen käytöstä, jos se on rivin lopussa.
Kiertokeinona haavoittuvuuden estämiseksi voit poistaa TLS-tuen käytöstä tai lisätä
ACL-osio "acl_smtp_mail":
kieltää ehto = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}
kieltää ehto = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}
Lähde: opennet.ru