В Exim обнаружена критическая уязвимость

Dron · Непрочитанное сообщение **Dron** » 2010-12-09 17:44:13

В популярном почтовом сервере Exim найдена критическая уязвимость, позволяющая удаленному злоумышленнику выполнить свой код на сервере с привилегиями суперпользователя. Уязвимость была выявлена в результате анализа причин взлома одного из серверов на базе Debian GNU/Linux. Проанализировав собранный при помощи tcpdump слепок трафика на момент взлома, было выявлено, что взлом был произведен через определенным образом оформленный в секции "DATA" сверхбольшой блок данных, содержащий в своем теле блок "HeaderX: ${shell-код}".

http://www.opennet.ru/opennews/art.shtml?num=28945
http://www.exim.org/lurker/message/2010 ... f2.en.html

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

hizel · Непрочитанное сообщение **hizel** » 2010-12-09 20:39:58

истерю и бегаю восемерками

Alex Keda

я уже спулы перемонтировал с nosuid в tmpfs
на свякий случай...
бо работает =((

Код: Выделить всё

dc7700p# rm -f /var/spool/exim/setuid
dc7700p# su - mailnull
%touch /var/spool/exim/setuid
%exim -d+all -C/tmp/e.conf -q
21:11:35 18614 Exim version 4.72 (FreeBSD 9.0) uid=26 gid=26 pid=18614 D=fffdffff
Probably Berkeley DB version 1.8x (native mode)
Support for: crypteq iconv() use_setclassresources PAM Perl Expand_dlfunc OpenSSL Content_Scanning DKIM Old_Demime
Lookups: lsearch wildlsearch nwildlsearch iplsearch cdb dbm dbmnz dnsdb dsearch nis nis0 passwd
Authenticators: cram_md5 dovecot plaintext spa
Routers: accept dnslookup ipliteral manualroute queryprogram redirect
Transports: appendfile/maildir/mailstore/mbx autoreply lmtp pipe smtp
Fixed never_users: 0
Size of off_t: 8
OpenSSL compile-time version: OpenSSL 0.9.8q 2 Dec 2010
OpenSSL runtime version: OpenSSL 0.9.8q 2 Dec 2010
21:11:35 18614 changed uid/gid: forcing real = effective
21:11:35 18614   uid=0 gid=26 pid=18614
21:11:35 18614   auxiliary group list: 26
21:11:35 18614 expanding: /bin/chown root:root /var/spool/exim/setuid
21:11:35 18614    result: /bin/chown root:root /var/spool/exim/setuid
21:11:35 18614 direct command:
21:11:35 18614   argv[0] = /bin/chown
21:11:35 18614   argv[1] = root:root
21:11:35 18614   argv[2] = /var/spool/exim/setuid
21:11:35 18614 expanding: /bin/chmod 4755 /var/spool/exim/setuid
21:11:35 18614    result: /bin/chmod 4755 /var/spool/exim/setuid
21:11:35 18614 direct command:
21:11:35 18614   argv[0] = /bin/chmod
21:11:35 18614   argv[1] = 4755
21:11:35 18614   argv[2] = /var/spool/exim/setuid
21:11:35 18614 expanding: ${run{/bin/chown root:root /var/spool/exim/setuid}}${run{/bin/chmod 4755 /var/spool/exim/setuid}}
21:11:35 18614    result:
21:11:35 18614 configuration file is /tmp/e.conf
21:11:35 18614 log selectors = 00000ffc 00212001
21:11:35 18614 cwd=/var/spool/mqueue 4 args: exim -d+all -C/tmp/e.conf -q
21:11:35 18614 trusted user
21:11:35 18614 admin user
21:11:35 18614 Single queue run
21:11:35 18614 set_process_info: 18614 running the queue (single queue run)
21:11:35 18614 LOG: queue_run MAIN
21:11:35 18614   Start queue run: pid=18614
21:11:35 18614 queue running main directory
21:11:35 18614 LOG: queue_run MAIN
21:11:35 18614   End queue run: pid=18614
21:11:35 18614 search_tidyup called
21:11:35 18614 >>>>>>>>>>>>>>>> Exim pid=18614 terminating with rc=0 >>>>>>>>>>>>>>>>
%ls -al /var/spool/exim/setuid
-rwsr-xr-x  1 mailnull  mail  0 Dec  9 21:11 /var/spool/exim/setuid
%logout

Gegemon · Непрочитанное сообщение **Gegemon** » 2010-12-10 10:33:48

Мде...............

гость

FreeBSD:

Код: Выделить всё

# mount -t nullfs -o nosuid /var/nosuid /nosuid
# mount | grep -i nosuid
/var/nosuid on /nosuid (nullfs, local, nosuid)

# /usr/local/etc/rc.d/exim stop
# mv /var/spool/exim /nosuid/
# ln -s /nosuid/exim /var/spool/exim
# ls -lF /var/spool/exim
lrwxr-xr-x  1 root  wheel  12 Dec 10 13:19 /var/spool/exim@ -> /nosuid/exim

# /usr/local/etc/rc.d/exim start

Вот и всё.

Alex Keda

а бага-то оказалась мало что дебилиан-специфичной, так ещё и в 4.70 пофикшена...
просто кто-то слишком долго цепляется за старый софт...

впрочем, пример proftpd учит и с новым не сильно торопиться

)

Dark_ASU

Пугать так вредно ))) тему поменяй

ev · Непрочитанное сообщение ev » 2010-12-13 14:24:33

так бага не работает во фряхе?
exim-4.69_3 уязвим?

hizel · Непрочитанное сообщение **hizel** » 2010-12-13 15:27:09

дополнено - проблема исправлена в Exim 4.70

ev · Непрочитанное сообщение ev » 2010-12-13 15:44:30

бага-то оказалась мало что дебилиан-специфичной

реально ли это или догадка?

наблюдал, что в порты иногда вносятся патчи безопасности без смены версии
вот и появился вопрос - может во фре эта бага была пофикшена до 4.70?

hizel · Непрочитанное сообщение **hizel** » 2010-12-13 15:58:08

дебиан специфик заключается в древности софта в стабильном дебиан и в том что они заменили стандартный sendmail на exim

наблюдал, что в порты иногда вносятся патчи безопасности без смены версииверсия

версия в любом случае меняется, если не приложения то порта

ev · Непрочитанное сообщение ev » 2010-12-13 16:56:14

версия в любом случае меняется, если не приложения то порта

ну так exim-4.69_3 уже не 4.69
и вполне могли накатить нужный патч

hizel · Непрочитанное сообщение **hizel** » 2010-12-13 17:11:24

а, лень
freshports.org в лапы

korbnik · Непрочитанное сообщение **korbnik** » 2010-12-16 9:49:22

В популярном почтовом сервере Exim найдена критическая уязвимость, позволяющая удаленному злоумышленнику выполнить свой код на сервере с привилегиями суперпользователя. Уязвимость была выявлена в результате анализа причин взлома одного из серверов. Проанализировав собранный при помощи tcpdump слепок трафика на момент взлома, было выявлено, что взлом был произведен через определенным образом оформленный в секции "DATA" сверхбольшой блок данных, содержащий в своем теле блок "HeaderX: ${shell-код}".

С целью предотвращения волны проведения атак, до выпуска обновления представлено только общее описание техники взлома, детали не разглашаются. Так как в определенных кругах подробности с методом эксплуатации данной проблемы уже известны, всем администраторам рекомендуется переконфигурировать Exim для работы под непривилегированным пользователем и заблокировать возможность выполнения suid-программ в дисковом разделе с почтовым спулом.

В атакованной системе использовался пакет из состава Debian GNU/Linux, в котором Exim работает с правами непривилегированного пользователя Debian-exim. На первой фазе атаки в каталоге /var/spool/exim4 был сформирован файл "setuid" c кодом, призванным предоставить shell-доступ, а также файл e.conf с инструкцией по установке флага suid root для первого файла ("spool_directory = ${run{/bin/chown root:root /var/spool/exim4/setuid}}${run{/bin/chmod 4755 /var/spool/exim4/setuid}}"). После инициирования запуска "exim -Ce.conf -q", последующее выполнение /var/spool/exim4/setuid предоставило злоумышленникам root shell.

Обновление с исправлением проблемы пока недоступно, также не ясно какие именно версии Exim подвержены проблеме (уязвимость была продемонстрирована в пакете exim4-daemon-light 4.69-9 из Debian GNU/Linux). Проконтролировать выход обновлений для различных дистрибутивов можно на следующих страницах: Gentoo, Mandriva, openSUSE, CentOS, Fedora, RHEL, Debian, Ubuntu, FreeBSD, NetBSD.

Дополнение: Paul Fisher и James E. Blair смогли запустить эксплоит, обнаружив, что для удаленного запуска кода он использует ошибку номер 787, исправленную в версии 4.70, но не вошедшую в пакет для debian stable. Релиз Exim 4.70 вышел в ноябре прошлого года, поэтому уязвимости подвержены давно не обновлявшие exim-пакет дистрибутивы, такие как Debian, RHEL и CentOS. Возможность запуска команд от пользователя root при обработке внешнего файла конфигурации через запуск "exim -Ce.conf -q" наблюдается во всех версиях пакета Exim (в частности, в пакете с Exim 4.72 из состава Debian).

Источник информации - http://www.opennet.ru/opennews/art.shtml?num=28945

Gegemon · Непрочитанное сообщение **Gegemon** » 2010-12-16 10:09:25

мде.....................

forum.lissyara.su