Exim - HELO + переполнение буфера

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
hangover
рядовой
Сообщения: 40
Зарегистрирован: 2008-06-18 11:07:42
Откуда: Новосибирск

Exim - HELO + переполнение буфера

Непрочитанное сообщение hangover » 2008-10-01 14:35:41

Всем привет.
На серваке под управлением FreeBSD 7.0 стоит Exim 4.69-0, и возникла такая проблема.
Сервак начал тупо падать. Смотрю логи - натыкаюсь в mainlog'е экзима на следующего рода записи:

Код: Выделить всё

2008-10-01 07:28:21 [42331] H=([123.19.44.181]) [123.19.44.181]:28328 I=[xx.xx.xx.xx]:25 F=<|bulldogs.com.autips@bulldogs.com.au> rejected RCPT <3dsmv@domain.ru>: "you in blacklist - cbl.abuseat.org --> Blocked - see http://cbl.abuseat.org/lookup.cgi?ip=123.19.44.181"
2008-10-01 07:28:21 [42331] DNS list lookup defer (probably timeout) for 181.44.19.123.opm.blitzed.org: assumed not in list
2008-10-01 07:28:21 [42331] H=([123.19.44.181]) [123.19.44.181]:28328 I=[xx.xx.xx.xx]:25 F=<|bulldogs.com.autips@bulldogs.com.au> rejected RCPT <gor@domain.ru>: "you in blacklist - cbl.abuseat.org --> Blocked - see http://cbl.abuseat.org/lookup.cgi?ip=123.19.44.181"
2008-10-01 07:28:22 [42332] DNS list lookup defer (probably timeout) for 65.242.89.201.opm.blitzed.org: assumed not in list
2008-10-01 07:28:22 [42332] H=201-89-242-65.ctame700.dsl.brasiltelecom.net.br [201.89.242.65]:61899 I=[xx.xx.xx.xx]:25 F=<aeapcfgfudy@bodyboardshop.com.au> rejected RCPT <108373304.20060801114003@domain.ru>: "you in blacklist - cbl.abuseat.org --> Blocked - see http://cbl.abuseat.org/lookup.cgi?ip=201.89.242.65"
2008-10-01 07:28:22 [42342] Delay 210 for cpc2-reig2-0-0-cust665.hers.cable.ntl.com [86.4.202.154] with HELO=cpc2-reig2-0-0-cust665.hers.cable.ntl.com. Mail from ronian@douglaswine.com to 843932008.20041104143748@domain.ru.
2008-10-01 07:28:22 [42331] H=([123.19.0000000000000000000000000000000000000000000000000000 .... и так далее - всего 760 NULLей
Таким образом, видим что спамер долбится-долбится, сервер его отпинывает-отпинывает, а потом он посылает в качестве HELO неперевариваемую комбинацию из 760 нулевых символов, и экзим валится, таща за собой в аут всю фряху.
Я уже натыкался на описание подобной уязвимости в http://www.securitylab.ru/vulnerability/202214.php
Уважаемые товарищи, подскажите методы борьбы с такой пакостью!
Может быть, у кого-то есть готовые решения?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2520 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: Exim - HELO + переполнение буфера

Непрочитанное сообщение freeman » 2008-10-15 13:03:21

hangover писал(а):Я уже натыкался на описание подобной уязвимости в http://www.securitylab.ru/vulnerability/202214.php
Уважаемые товарищи, подскажите методы борьбы с такой пакостью!
Может быть, у кого-то есть готовые решения?
Наличие эксплоита: Нет

Описание: Уязвимость обнаружена в Exim. Удаленный пользователь может аварийно завершить работу программы и, возможно, выполнить произвольный код на уязвимом севере.

Уязвимость связанна с ошибкой проверки границ при обработке HELO и EHLO команд. Удаленный пользователь может представить параметр, содержащий 500 или более пробелов заканчивающийся NULL байтом и CRLF (возвратом каретки), чтобы вызвать переполнение динамической памяти.

Успешная эксплуатация уязвимости позволят выполнить произвольный код на уязвимой системе. В настоящее время не существует способа успешной эксплуатации этой уязвимости.

Пример/Эксплоит: Нет
Используют уже эксплоит получается. Не получилось поиметь тебя как релей, заслать спам, получи тогда гранату. :unknown:
hangover писал(а):На серваке под управлением FreeBSD 7.0 стоит Exim 4.69-0,
Решение:
Заплаты к версиям 4.20 и 3.36 можно скачать отсюда:
Гм. Я так понимаю после 4,20 уязвимость была иправлена, "вернули" снова ?
Остатся должен только один ...

Аватара пользователя
hangover
рядовой
Сообщения: 40
Зарегистрирован: 2008-06-18 11:07:42
Откуда: Новосибирск

Re: Exim - HELO + переполнение буфера

Непрочитанное сообщение hangover » 2008-10-31 14:02:00

Отбой, никакой не эксплоит это.
Ларчик просто открывался: винты WD при довольно большой нагрузке начинали себя странно вести и то ли выпадали из зеркала, то ли что... RAID-контроллер, видимо, не понимал такого нехорошего поведения и вешал сервак.
А нули в логах, скорее всего, из-за того, что fsck восстанавливал ФС при загрузке.
Перевёл сервак на похожую платформу с винтами Seagate - всё пашет без нареканий.