Исследователи из Qualys Research Labs обнаружили, что в exim версий 4.87 - 4.91 (включительно) существует возможность локального и удаленного выполнения произвольных команд с привилегиями пользователя, под котороым запущен сервер. Ошибка вызвана недостаточной валидацией адреса получателя письма и содержится в файле /src/deliver.c в коде функции deliver_message().
6122 #ifndef DISABLE_EVENT
6123 if (process_recipients != RECIP_ACCEPT)
6124 {
6125 uschar * save_local = deliver_localpart;
6126 const uschar * save_domain = deliver_domain;
6127
6128 deliver_localpart = expand_string(
6129 string_sprintf("${local_part:%s}", new->address));
6130 deliver_domain = expand_string(
6131 string_sprintf("${domain:%s}", new->address));
6132
6133 (void) event_raise(event_action,
6134 US"msg:fail:internal", new->message);
6135
6136 deliver_localpart = save_local;
6137 deliver_domain = save_domain;
6138 }
6139 #endif
Проблема была исправлена в версии 4.92, которая вышла 10-го февраля 2019. Но тогда баг 2310 не был классифицирован как проблема с безопасностью и дистрибутивы не обновили пакеты.
По мнению исследователей, удаленная эксплуатация возможна при условии, что атакующий будет в состоянии удерживать активное соединение с почтовым сервером в течение 7-ми дней (путем передачи по одному байту каждые несколько минут). Тем не менее, сообщается о массовых взломах утром 10-го июня, когда многие обнаруживали на своих серверах процесс с именем kthrotlds, занятый майнингом крипотовалюты.
Примечательно, что CentOS 5, в состав которой входит exim-4.63, оказалась неуязвимой.
Уязвимость получила код CVE-2019-10149
0 Responses
Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.
You must be logged in to post a comment.