Utgivningen av e-postservern Exim 4.94.2 har publicerats med eliminering av 21 sårbarheter (CVE-2020-28007-CVE-2020-28026, CVE-2021-27216), som identifierades av Qualys och presenterades under kodnamnet 21 Naglar. 10 problem kan utnyttjas på distans (inklusive exekvering av kod med roträttigheter) genom manipulering av SMTP-kommandon vid interaktion med servern.
Alla versioner av Exim, vars historia har spårats i Git sedan 2004, påverkas av problemet. Fungerande prototyper av exploateringar har förberetts för 4 lokala sårbarheter och 3 fjärrproblem. Utnyttjande för lokala sårbarheter (CVE-2020-28007, CVE-2020-28008, CVE-2020-28015, CVE-2020-28012) låter dig höja dina privilegier till rotanvändaren. Två fjärrproblem (CVE-2020-28020, CVE-2020-28018) gör att kod kan exekveras utan autentisering som Exim-användare (du kan sedan få root-åtkomst genom att utnyttja en av de lokala sårbarheterna).
CVE-2020-28021-sårbarheten tillåter omedelbar fjärrkörning av kod med roträttigheter, men kräver autentiserad åtkomst (användaren måste upprätta en autentiserad session, varefter de kan utnyttja sårbarheten genom att manipulera AUTH-parametern i MAIL FROM-kommandot). Problemet orsakas av det faktum att en angripare kan åstadkomma strängersättning i rubriken för en spoolfil genom att skriva värdet för authenticated_sender utan att korrekt escape specialtecken (till exempel genom att skicka kommandot "MAIL FROM:<> AUTH=Raven+0AReyes ”).
Dessutom noteras att en annan fjärrsårbarhet, CVE-2020-28017, kan exploateras för att exekvera kod med "exim"-användarrättigheter utan autentisering, men kräver mer än 25 GB minne. För de återstående 13 sårbarheterna kan exploateringar potentiellt också förberedas, men arbete i denna riktning har ännu inte utförts.
Exim-utvecklarna underrättades om problemen redan i oktober förra året och ägnade mer än 6 månader åt att utveckla korrigeringar. Alla administratörer rekommenderas att snarast uppdatera Exim på sina e-postservrar till version 4.94.2. Alla versioner av Exim före release 4.94.2 har förklarats föråldrade. Publiceringen av den nya versionen samordnades med distributioner som samtidigt publicerade paketuppdateringar: Ubuntu, Arch Linux, FreeBSD, Debian, SUSE och Fedora. RHEL och CentOS påverkas inte av problemet, eftersom Exim inte ingår i deras standardpaketförråd (EPEL har ännu ingen uppdatering).
Borttagna sårbarheter:
- CVE-2020-28017: Heltalsspill i funktionen receive_add_recipient();
- CVE-2020-28020: Heltalsspill i funktionen receive_msg();
- CVE-2020-28023: Out-of-bounds läst i smtp_setup_msg();
- CVE-2020-28021: Nyradsersättning i spoolfilhuvudet;
- CVE-2020-28022: Skriv och läs i ett område utanför den allokerade bufferten i funktionen extract_option();
- CVE-2020-28026: Strängavkortning och substitution i spool_read_header();
- CVE-2020-28019: Crash vid återställning av en funktionspekare efter att ett BDAT-fel inträffat;
- CVE-2020-28024: Buffertunderflöde i funktionen smtp_ungetc();
- CVE-2020-28018: Använd efter-fri buffertåtkomst i tls-openssl.c
- CVE-2020-28025: En out-of-bounds läsning i pdkim_finish_bodyhash()-funktionen.
Lokala sårbarheter:
- CVE-2020-28007: Symbolisk länkattack i Exim-loggkatalogen;
- CVE-2020-28008: Spool-katalogattacker;
- CVE-2020-28014: Godtycklig filskapande;
- CVE-2021-27216: Godtycklig radering av filer;
- CVE-2020-28011: Buffertspill i queue_run();
- CVE-2020-28010: Out-of-bounds skriv i main();
- CVE-2020-28013: Buffertspill i funktionen parse_fix_phrase();
- CVE-2020-28016: Out-of-bounds skriv i parse_fix_phrase();
- CVE-2020-28015: Nyradsersättning i spoolfilhuvudet;
- CVE-2020-28012: Close-on-exec-flagga saknas för en privilegierad namnlös pipe;
- CVE-2020-28009: Heltalsspill i get_stdinput()-funktionen.
Källa: opennet.ru