Страница 1 из 1

Exim - HELO + переполнение буфера

Добавлено: 2008-10-01 14:35:41
hangover
Всем привет.
На серваке под управлением FreeBSD 7.0 стоит Exim 4.69-0, и возникла такая проблема.
Сервак начал тупо падать. Смотрю логи - натыкаюсь в mainlog'е экзима на следующего рода записи:

Код: Выделить всё

2008-10-01 07:28:21 [42331] H=([123.19.44.181]) [123.19.44.181]:28328 I=[xx.xx.xx.xx]:25 F=<|bulldogs.com.autips@bulldogs.com.au> rejected RCPT <3dsmv@domain.ru>: "you in blacklist - cbl.abuseat.org --> Blocked - see http://cbl.abuseat.org/lookup.cgi?ip=123.19.44.181"
2008-10-01 07:28:21 [42331] DNS list lookup defer (probably timeout) for 181.44.19.123.opm.blitzed.org: assumed not in list
2008-10-01 07:28:21 [42331] H=([123.19.44.181]) [123.19.44.181]:28328 I=[xx.xx.xx.xx]:25 F=<|bulldogs.com.autips@bulldogs.com.au> rejected RCPT <gor@domain.ru>: "you in blacklist - cbl.abuseat.org --> Blocked - see http://cbl.abuseat.org/lookup.cgi?ip=123.19.44.181"
2008-10-01 07:28:22 [42332] DNS list lookup defer (probably timeout) for 65.242.89.201.opm.blitzed.org: assumed not in list
2008-10-01 07:28:22 [42332] H=201-89-242-65.ctame700.dsl.brasiltelecom.net.br [201.89.242.65]:61899 I=[xx.xx.xx.xx]:25 F=<aeapcfgfudy@bodyboardshop.com.au> rejected RCPT <108373304.20060801114003@domain.ru>: "you in blacklist - cbl.abuseat.org --> Blocked - see http://cbl.abuseat.org/lookup.cgi?ip=201.89.242.65"
2008-10-01 07:28:22 [42342] Delay 210 for cpc2-reig2-0-0-cust665.hers.cable.ntl.com [86.4.202.154] with HELO=cpc2-reig2-0-0-cust665.hers.cable.ntl.com. Mail from ronian@douglaswine.com to 843932008.20041104143748@domain.ru.
2008-10-01 07:28:22 [42331] H=([123.19.0000000000000000000000000000000000000000000000000000 .... и так далее - всего 760 NULLей
Таким образом, видим что спамер долбится-долбится, сервер его отпинывает-отпинывает, а потом он посылает в качестве HELO неперевариваемую комбинацию из 760 нулевых символов, и экзим валится, таща за собой в аут всю фряху.
Я уже натыкался на описание подобной уязвимости в http://www.securitylab.ru/vulnerability/202214.php
Уважаемые товарищи, подскажите методы борьбы с такой пакостью!
Может быть, у кого-то есть готовые решения?

Re: Exim - HELO + переполнение буфера

Добавлено: 2008-10-15 13:03:21
freeman
hangover писал(а):Я уже натыкался на описание подобной уязвимости в http://www.securitylab.ru/vulnerability/202214.php
Уважаемые товарищи, подскажите методы борьбы с такой пакостью!
Может быть, у кого-то есть готовые решения?
Наличие эксплоита: Нет

Описание: Уязвимость обнаружена в Exim. Удаленный пользователь может аварийно завершить работу программы и, возможно, выполнить произвольный код на уязвимом севере.

Уязвимость связанна с ошибкой проверки границ при обработке HELO и EHLO команд. Удаленный пользователь может представить параметр, содержащий 500 или более пробелов заканчивающийся NULL байтом и CRLF (возвратом каретки), чтобы вызвать переполнение динамической памяти.

Успешная эксплуатация уязвимости позволят выполнить произвольный код на уязвимой системе. В настоящее время не существует способа успешной эксплуатации этой уязвимости.

Пример/Эксплоит: Нет
Используют уже эксплоит получается. Не получилось поиметь тебя как релей, заслать спам, получи тогда гранату. :unknown:
hangover писал(а):На серваке под управлением FreeBSD 7.0 стоит Exim 4.69-0,
Решение:
Заплаты к версиям 4.20 и 3.36 можно скачать отсюда:
Гм. Я так понимаю после 4,20 уязвимость была иправлена, "вернули" снова ?

Re: Exim - HELO + переполнение буфера

Добавлено: 2008-10-31 14:02:00
hangover
Отбой, никакой не эксплоит это.
Ларчик просто открывался: винты WD при довольно большой нагрузке начинали себя странно вести и то ли выпадали из зеркала, то ли что... RAID-контроллер, видимо, не понимал такого нехорошего поведения и вешал сервак.
А нули в логах, скорее всего, из-за того, что fsck восстанавливал ФС при загрузке.
Перевёл сервак на похожую платформу с винтами Seagate - всё пашет без нареканий.