Qualys fyrirtæki annar mikilvægur varnarleysi (CVE-2020-8794) á póstþjóninum , þróað af OpenBSD verkefninu. Eins og sá sem var auðkenndur í lok janúar , ný útgáfa gerir það mögulegt að fjarframkvæma handahófskenndar skel skipanir á netþjóni með rót notendaréttindi. Varnarleysi í útgáfu .
Vandamálið stafar af villu í kóðanum sem sendir póst til ytri póstþjónsins (ekki í kóðanum sem sér um tengingar sem koma inn). Árásin er möguleg bæði á biðlarahlið og á miðlarahlið. Á biðlarahlið er árásin möguleg í sjálfgefna stillingu OpenSMTPD, þar sem OpenSMTPD tekur aðeins við beiðnum á innra netviðmótinu (localhost) og sendir póstskilaboð til ytri netþjóna. Til að nýta veikleikann er nóg að við afhendingu bréfs komi OpenSMTPD á fundi með póstþjóni sem stjórnað er af árásarmanninum, eða að árásarmaðurinn geti fleygt inn í biðlaratenginguna (MITM eða tilvísun meðan á árásum stendur í gegnum DNS eða BGP) ).
Fyrir árás á netþjóni verður OpenSMTPD að vera stillt til að taka á móti ytri netbeiðnum frá öðrum póstþjónum eða þjóna þjónustu þriðja aðila sem gerir þér kleift að senda beiðni í handahófskenndan tölvupóst (til dæmis staðfestingareyðublöð fyrir heimilisfang á vefsíðum). Til dæmis getur árásarmaður tengst OpenSMTPD-þjóninum og sent rangt bréf (til notanda sem ekki er til), sem mun leiða til þess að svar sendir bréf með villukóða (hopp) til netþjóns árásarmannsins. Árásarmaður getur nýtt sér varnarleysið þegar OpenSMTPD tengist til að senda tilkynningu til netþjóns árásarmannsins. Skelskipanirnar sem sprautað er inn meðan á árásinni stendur eru settar í skrá sem er keyrð með rótarréttindum þegar OpenSMTPD er endurræst, þannig að árásarmaðurinn verður að bíða eftir að OpenSMTPD endurræsi sig eða hefja hrun á OpenSMTPD til að ljúka árásinni.
Vandamálið er til staðar í mta_io() fallinu í kóðanum fyrir þáttun fjöllínusvarsins sem ytri þjónninn skilar eftir að tenging er komið á (til dæmis "250-ENHANCEDSTATUSCODES" og "250 HELP"). OpenSMTPD reiknar út að fyrsta línan inniheldur þriggja stafa tölu og texta aðskilinn með „-“ staf og önnur línan inniheldur þriggja stafa tölu og texta aðskilinn með bili. Ef þriggja stafa tölu er ekki fylgt eftir með bili og texta í annarri línu, er bendillinn sem notaður er til að skilgreina textann stilltur á bæti á eftir „\0“ stafnum og reynt er að afrita gögnin í lokin af línunni inn í biðminni.
Að beiðni OpenBSD verkefnisins hefur birtingu upplýsinga um hagnýtingu veikleikans verið frestað til 26. febrúar til að leyfa notendum að uppfæra kerfi sín. Vandamálið hefur verið til staðar í kóðagrunninum síðan í desember 2015, en hagnýting fyrir keyrslu kóða með rótarréttindum hefur verið möguleg síðan í maí 2018. Rannsakendur útbjuggu virka frumgerð af hetjudáðinni, sem var prófuð með góðum árangri í OpenSMTPD smíðum fyrir OpenBSD 6.6, OpenBSD 5.9, Debian 10, Debian 11 (prófun) og Fedora 31.
Í OpenSMTPD líka Annar varnarleysi (CVE-2020-8793) sem gerir staðbundnum notanda kleift að lesa fyrstu línu í hvaða skrá sem er á kerfinu. Til dæmis geturðu lesið fyrstu línuna í /etc/master.passwd, sem inniheldur hash lykilorð notandans. Varnarleysið gerir þér einnig kleift að lesa allt innihald skráar í eigu annars notanda ef þessi skrá er staðsett í sama skráarkerfi og /var/spool/smtpd/ möppunni. Vandamálið er ekki hægt að nýta í mörgum Linux dreifingum þar sem gildi /proc/sys/fs/protected_hardlinks er stillt á 1.
Vandamálið er afleiðing ófullkomins brottnáms , sem kom fram í úttektinni sem Qualys framkvæmdi árið 2015. Árásarmaður getur framkvæmt kóðann sinn með réttindum „_smtpq“ hópsins með því að stilla „PATH=.“ breytuna. og setja skriftu sem kallast makemap í núverandi möppu (smtpctl tólið keyrir makemap án þess að tilgreina slóðina sérstaklega). Með því að fá aðgang að "_smtpq" hópnum getur árásarmaðurinn síðan valdið keppnisástandi (búið til stóra skrá í offline möppunni og sent SIGSTOP merki) og áður en vinnslu er lokið, skipt út skránni í offline möppunni fyrir harða skrá. táknmynd sem bendir á markskrána sem lesa þarf innihald hennar.
Það er athyglisvert að í Fedora 31 gerir varnarleysið þér kleift að öðlast strax forréttindi rótarhópsins, þar sem smtpctl ferlið er búið setgid rótfánanum, í stað setgid smtpq fánans. Með því að fá aðgang að rótarhópnum geturðu skrifað yfir innihald /var/lib/sss/mc/passwd og fengið fullan rótaraðgang að kerfinu.
Heimild: opennet.ru