Siideynta serverka boostada ee Exim 4.94.2 ayaa la daabacay iyadoo la tirtirayo 21 dayacan (CVE-2020-28007-CVE-2020-28026, CVE-2021-27216), kuwaas oo ay aqoonsadeen Qualys oo lagu soo bandhigay magaca koodka. 21 Cidiyaha. Dhibaatooyinka 10 ayaa laga faa'iidaysan karaa meel fog (oo ay ku jiraan fulinta koodka leh xuquuqda xididka) iyada oo la adeegsanayo amarrada SMTP marka lala macaamilayo serverka.
Dhammaan noocyada Exim, kuwaas oo taariikhdooda lagala socday Git ilaa 2004, waxaa saameeyay dhibaatadu. Noocyada shaqada ee ka faa'iidaysiga ayaa loo diyaariyey 4 dayacan oo maxalli ah iyo 3 dhibaato oo fog. Ka faa'iidaysiga dayacanka maxalliga ah (CVE-2020-28007, CVE-2020-28008, CVE-2020-28015, CVE-2020-28012) waxay kuu oggolaanaysaa inaad sare u qaaddo mudnaantaada isticmaalaha xididka. Laba arrimood oo fogfog (CVE-2020-28020, CVE-2020-28018) waxay oggolaadaan koodka in la fuliyo iyada oo aan la aqoonsanayn isticmaale Exim ahaan (waxaad markaa heli kartaa xidid gelitaanka adigoo ka faa'iidaysanaya mid ka mid ah dayacanka deegaanka).
Nuglaanta CVE-2020-28021 waxay u oggolaaneysaa isla markiiba fulinta code fog oo leh xuquuqaha xididka, laakiin waxay u baahan tahay marin la xaqiijiyay (isticmaalahu waa inuu dejiyaa kalfadhi la xaqiijiyay, ka dib wuxuu ka faa'iidaysan karaa nuglaanshaha iyada oo la adeegsanayo fara-ku-dhigga AUTH ee MAIL FROM amarka). Dhibaatada waxaa keenay xaqiiqda ah in weeraryahanku uu ku guuleysan karo beddelka xargaha madaxa faylka spool isagoo qoraya qiimaha la xaqiijiyay_sender adigoon si sax ah uga baxsaneynin xarfaha gaarka ah (tusaale, adoo gudbinaya amarka "MAIL FROM:<> AUTH=Raven+0AREes ”).
Intaa waxaa dheer, waxaa la xusay in nuglaanta kale ee fog, CVE-2020-28017, laga faa'iidaysan karo in lagu fuliyo koodka "exim" xuquuqda isticmaalaha iyada oo aan la xaqiijin, laakiin waxay u baahan tahay in ka badan 25 GB oo xusuusta ah. 13 ka dayacan ee soo hadhay, ka faa'iidaysigu sidoo kale waa la diyaarin karaa, laakiin shaqada jihadaan wali lama fulin.
Soosaarayaasha Exim ayaa la ogeysiiyay dhibaatooyinka bishii Oktoobar ee sanadkii hore waxayna ku bixiyeen in ka badan 6 bilood hagaajinta. Dhammaan maamulayaasha waxaa lagula talinayaa inay si degdeg ah u cusbooneysiiyaan Exim server-yadooda boostada nooca 4.94.2. Dhammaan noocyada Exim ka hor siideynta 4.94.2 ayaa lagu dhawaaqay inay duugoobeen. Daabacaada nooca cusub waxaa isku dubariday qaybinta kuwaas oo isku mar la daabacay cusboonaysiinta xirmada: Ubuntu, Arch Linux, FreeBSD, Debian, SUSE iyo Fedora. RHEL iyo CentOS ma saameeyaan dhibaatadu, maadaama Exim aan lagu darin kaydka xirmooyinka caadiga ah (EPEL wali ma hayso wax cusub).
Nuglaanta meesha laga saaray:
- CVE-2020-28017: Isku-darka buuxdhaafka ah ee shaqada heel_add_recipient();
- CVE-2020-28020: Isku-darka buuxdhaafka ah ee helitaanka_msg() shaqada;
- CVE-2020-28023: Xuduud ka baxsan ayaa lagu akhriyaa smtp_setup_msg();
- CVE-2020-28021: Beddelka khadka cusub ee madaxa faylka spool;
- CVE-2020-28022: Ku qor oo ku akhri meel ka baxsan kaydka loo qoondeeyey ee hawsha saarista ()
- CVE-2020-28026: Xargaha gooyn iyo beddelka spool_read_header ();
- CVE-2020-28019: Shil markaad dib u dejinayso tilmaame hawleed ka dib markii uu dhaco qalad BDAT;
- CVE-2020-28024: Qulqulka qulqulka hoose ee shaqada smtp_ungetc();
- CVE-2020-28018: Isticmaal-ka-dib-u-helidda kaydinta bilaashka ah tls-openssl.c
- CVE-2020-28025: Xadka ka baxsan ayaa lagu akhriyay shaqada pdkim_finish_bodyhash().
Nuglaanta deegaanka:
- CVE-2020-28007: Weerarka isku xirka astaanta ee buugga Exim log directory;
- CVE-2020-28008: Weerarada hagaha Spool;
- CVE-2020-28014: Fayl-abuur aan sabab lahayn;
- CVE-2021-27216: Tirtiridda faylka aan sharciga ahayn;
- CVE-2020-28011: Buffer buuxdhaafay ee safka_run ();
- CVE-2020-28010: Xuduudaha ka baxsan ku qor guud ();
- CVE-2020-28013: Qulqulka xad dhaafka ah ee shaqada parse_fix_phrase ();
- CVE-2020-28016: Xuduud ka baxsan ku qor parse_fix_phrase();
- CVE-2020-28015: Beddelka khadka cusub ee madaxa faylka spool;
- CVE-2020-28012: Waxaa ka maqan calanka u dhow-ku-xigeenka ee tuubo aan la magacaabin oo mudnaan leh;
- CVE-2020-28009: Isku-darka qulqulka shaqada get_stdinput()
Source: opennet.ru