The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

13.03.2016 09:56  Критическая локальная уязвимость в Exim

Раскрыты подробности критической уязвимости (CVE-2016-1531) в почтовом сервере Exim, позволяющей непривилегированному локальному пользователю системы выполнить код с правами root. Проблема устранена в выпусках 4.84.2, 4.85.2, 4.86.2, 4.87 RC5 и 4.82.2.

Проблеме подвержены установки, в которых exim собран с поддержкой Perl и поддерживает конфигурационную переменную perl_startup. Для проверки можно запустить "exim -bV -v | grep -i Perl". Обычно perl_startup используется для подключения антивирусов, фильтров, серых списков и систем фильтрации спама. Отсутствие активной настройки perl_startup в файле конфигурации не избавляет от проблемы, если локальный пользователь может запустить свой экземпляр exim со своим файлом конфигурации.

Причиной возникновения уязвимости является отсутствие чистки переменных окружения перед загрузкой скрипта на языке Perl, определённого в параметре perl_startup. Для совершения атаки локальному злоумышленнику достаточно обратиться к sendmail-обвязке /usr/sbin/sendmail.exim, которая ссылается на процесс /usr/sbin/exim, выполняемый с флагом set-uid root. Если в обычных условиях sendmail-обвязка сбрасывает привилегии root, то при запуске с опцией "-ps" имеется возможность выполнить perl-скрипт, указанный в настройках perl_startup, на этапе до сброса привилегий.

Для подстановки своих команд при выполнении указанного в настройках perl-скрипта может применяться переменная окружения PERL5OPT, через которую можно передать опции выполнения интерпретатора perl. Например, указав опцию "-d" интерпретатор перейдёт в интерактивный отладочный режим, в котором можно выполнить произвольный код. Таким образом эксплоит сводится к запуску команды 'PERL5OPT="-d/dev/null" /usr/sbin/sendmail.exim -ps', после чего можно запустить любую системную утилиту с правами root. Например, для запуска команды id в отладочном интерфейсе можно ввести 'p system("id")'.

Уязвимость проявляется в Debian, Ubuntu, SUSE, openSUSE, FreeBSD и Fedora. RHEL проблеме не подвержен. Для защиты от возникновения подобных проблем в будущем в новые версии Exim принят код для фильтрации переменных окружения, который требует внесения изменений в конфигурацию в случае передачи параметров к внешним компонентам через переменные окружения (например, таким способом передаются параметры LDAP). По умолчанию теперь все переменные окружения очищаются, а разрешённые переменные должны быть явно определены в директивах "keep_environment" и "add_environment".

  1. Главная ссылка к новости (http://seclists.org/fulldisclo...)
  2. OpenNews: Выпуск почтового сервера Exim 4.86
  3. OpenNews: В почтовом сервере Exim 4.80.1 устранена критическая уязвимость
  4. OpenNews: Доступен почтовый сервер Exim 4.83 с устранением уязвимости
  5. OpenNews: В почтовом сервере Exim 4.82.1 устранена критическая уязвимость
  6. OpenNews: Опасная уязвимость при использовании рекомендуемых в документации настройках связки Exim и Dovecot
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: exim
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, EuPhobos, 10:12, 13/03/2016 [ответить] [смотреть все]    [к модератору]
  • +/
    Урок для дебиан, чтоб не пихал насильно этого монстра в минимально устанавливаемую систему.. Всегда выпиливаю его.
    Не понять мне логики, ssh, который важен для администрирования системы значит вынесен в меню выбора пакетов, и по умолчанию система ставится без него, если не пометить, а эту хрень exim без спроса ставим.
     
     
  • 2.2, Аноним, 10:18, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +6 +/
    По умолчанию разве не эта версия ставится https://packages.debian.org/ru/jessie/exim4-daemon-light ?
     
     
  • 3.11, Andrey Mitrofanov, 11:38, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]
  • +4 +/
    1 usr sbin exim -bV -v 124 grep -ci Perl 0 dpkg -S usr sbin exim exim4... весь текст скрыт [показать]
     
  • 2.3, Аноним, 10:21, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +6 +/
    > Не понять мне логики

    Зачем тебе ssh если у тебя сети нет? А без локального MTA не работает cron

     
     
  • 3.4, EuPhobos, 10:35, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –6 +/
    Без сети netinstall дебианский бессмысленный, а зачем крону мта кричать о вывод... весь текст скрыт [показать]
     
  • 3.5, Аноним, 10:49, 13/03/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    >А без локального MTA не работает cron

    Вот тебе , батенька, и юникс-вэй.

     
     
  • 4.29, Аноним, 14:42, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    cron рекомендует exim4 124 postfix 124 mail-transport-agent Не обязательно... весь текст скрыт [показать]
     
     
  • 5.55, Аноним, 18:37, 13/03/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    openSMTP тоже сойдет!
     
  • 5.58, Andrey Mitrofanov, 18:46, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Не совсем двумя CODE aptitude search mail-transport-agent v mail-transport... весь текст скрыт [показать]
     
  • 3.7, anonymous, 11:07, 13/03/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +7 +/
    Работает. Ему просто нужно об этом сказать.
     
  • 2.65, Аноним, 21:51, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Так и не пихают, я только вчера debootstrap ом проверял с flavor minimal, нет та... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Аноним, 10:54, 13/03/2016 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вопрос знатокам какие привилегированные действия выполняет exim, что ему требуе... весь текст скрыт [показать]
     
     
  • 2.9, Аноним, 11:23, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Может на привилегированный (до 1000) порт вешается?
     
     
  • 3.67, Аноним, 21:53, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Правильно, незачем пользоваться современными инструментами типа CAPABILITIES, лу... весь текст скрыт [показать]
     
  • 2.10, Аноним, 11:24, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    Пишет в локальные почтовые ящики всех пользователей в системе, например.
     
  • 2.13, Andrey Mitrofanov, 11:44, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +5 +/
    И тут, внезапно, вступает хор счастливых полmзователей postfix с арией об раздел... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, EHLO, 12:45, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Так пишешь, как будто это плохо ... весь текст скрыт [показать]
     
     
  • 4.18, Andrey Mitrofanov, 13:15, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Это плохо ... весь текст скрыт [показать]
     
  • 3.20, fail, 13:40, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ыыы, запахло холиваром не доводилось копаться в кишках exim 1 из 3 mta вто... весь текст скрыт [показать]
     
     
  • 4.21, Andrey Mitrofanov, 13:46, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Модули есть, а разделения привилегий не довложили, SUIDов накостылили А моду... весь текст скрыт [показать]
     
     
  • 5.30, fail, 14:44, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    понятно, нет золотой середины, я для для базового и быстрого архитектурного вп... весь текст скрыт [показать]
     
  • 4.23, all_glory_to_the_hypnotoad, 13:59, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    примено да, большой монолит в виде одного бинарника со всеми функиями ... весь текст скрыт [показать]
     
  • 2.34, SubGun, 15:29, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Такие же, какие выполняет nginx и др подобные программы ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.37, Аноним, 16:31, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    да кто ж nginx из-под рута запускать будет для каждого демона нынче отдельного ... весь текст скрыт [показать]
     
     
  • 4.73, Алексей Морозов, 06:01, 14/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну, строго говоря, _запускают_ его именно под рутом из-за 80-го порта Правда, п... весь текст скрыт [показать]
     
     
  • 5.89, ЫгиПгт, 18:25, 15/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Внезапно root 826 0 0 0 0 90876 3004 Ss Mar10 0 00 nginx... весь текст скрыт [показать]
     
     
  • 6.94, ., 03:50, 16/03/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    > Внезапно:

    Да бросьте, Поручик! Тут этого никто не оценит! (С) :-)

     
     
  • 7.97, Алексей Морозов, 20:37, 16/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это не Поручик, это целый Капитан ... весь текст скрыт [показать]
     
  • 5.98, Павел Самсонов, 09:52, 17/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Exinm оставляет stored uid 0, он не всё дропает, в ps не все видно ... весь текст скрыт [показать]
     
  • 2.48, Michael Shigorin, 17:54, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Не специалист тут бы хорошо solardiz или ldv позвать , но вообще-то suid root ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.52, Andrey Mitrofanov, 18:33, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Лет мии даггаггоу зет фоур юу фром май харт https duckduckgo com q why exim ... весь текст скрыт [показать]
     
     
  • 4.63, Michael Shigorin, 19:21, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Благодарю Про условный mailq специально ведь упомянул ... весь текст скрыт [показать]
     
     
  • 5.96, Andrey Mitrofanov, 12:12, 16/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Там второй пункт не про mailq, а про встроенный LDA лок юзер vasya пишет лок ... весь текст скрыт [показать]
     
  • 3.53, dep346, 18:33, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    После этих слов следовало бы остановиться Далее идут высказывания, явно путающи... весь текст скрыт [показать]
     
     
  • 4.62, Michael Shigorin, 19:20, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    и задуматься -- а не понимает ли отрекомендовавшийся так тему лучше иных спе... весь текст скрыт [показать]
     
     
  • 5.74, Алексей Морозов, 06:07, 14/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Убогость архитектуры Надо сделать несколько привилегированных операций наприме... весь текст скрыт [показать]
     
     
  • 6.88, ЫгиПгт, 18:20, 15/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ну, от человека, который использует postfix ничего другого ожидать и не приходит... весь текст скрыт [показать]
     
     
  • 7.92, Michael Shigorin, 19:45, 15/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Зная Лёшу лично, а этого кота впервые видя -- поухмыляюсь над такими оценками ... весь текст скрыт [показать]
     
  • 1.8, Аноним, 11:16, 13/03/2016 [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    По умолчанию в Дебиане ставится exim-daemon-light, а собран с Перлом, и таким об... весь текст скрыт [показать]
     
     
  • 2.75, Алексей Морозов, 06:12, 14/03/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    Знаете, как подох sendmail Он подох, когда бо 769 льшая часть логики обработки... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.83, Аноним 80_уровня, 11:14, 15/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вас послушать, так он мёртвым родился и мёртвым почту передавал лет тридцать ... весь текст скрыт [показать]
     
  • 3.90, ЫгиПгт, 18:30, 15/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Странно, ни одного нормального MTA, кроме Exim не видел Ну как бы они есть, как... весь текст скрыт [показать]
     
     
  • 4.91, Michael Shigorin, 19:44, 15/03/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Но для локалхоста да, сойдут.

    Забавно, а по каким критериям сравнивали?

     
  • 1.12, grsec, 11:39, 13/03/2016 [ответить] [смотреть все]    [к модератору]  
  • –5 +/
    Дебиан. Стабильность. Энтерпрайз.
     
  • 1.16, LeNiN, 12:55, 13/03/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Бывает.
     
  • 1.22, all_glory_to_the_hypnotoad, 13:56, 13/03/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    А если бы кретины из debian выбирали нормальные пакеты для дефолтной установки, Postfix например, то такого треша не было бы.
     
     
  • 2.24, Аноним, 14:23, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    чёрт с ним, с exim ом вы посмотрите какую наркоманию они развели для его настро... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, Andrey Mitrofanov, 14:39, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А Вы, извините, эксперт В наркомании Да, расскажите нам подробнее ... весь текст скрыт [показать]
     
  • 3.31, Аноним, 14:45, 13/03/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    К счастью, "наркомания" элементарно отключается - достаточно создать свой /etc/exim4/exim4.conf .

     
     
  • 4.40, DeadLoco, 17:18, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Причем - одним файлом, а не винегрет из полсотни инклудов по три строчки каждый ... весь текст скрыт [показать]
     
     
  • 5.76, Енотполоскун, 07:34, 14/03/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А Bind то тут при чем?
     
  • 2.33, SubGun, 15:27, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    При чем тут всякое дерьмо, типа postfix Вопросы к тупому сборщику пакетов, кото... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, all_glory_to_the_hypnotoad, 17:19, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Всякое дерьмо это exim Предьявы не к сборщику пакетов, а к архитекторам экзима ... весь текст скрыт [показать]
     
     
  • 4.45, Andrey Mitrofanov, 17:34, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Спасибо - от лица всех пользователей D С восхищением следим за Вашим бесприме... весь текст скрыт [показать]
     
  • 4.78, scorry, 11:19, 14/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    И снова вопрос какой дистр является кошерным с твоей точки зрения Вываливай, г... весь текст скрыт [показать]
     
     
  • 5.80, Аноним, 18:30, 14/03/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Gentoo, конечно.
     
     
  • 6.85, scorry, 12:57, 15/03/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Gentoo, конечно.

    LFS не катит, не?

     
     
  • 7.93, all_glory_to_the_hypnotoad, 20:52, 15/03/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    не катит
     
  • 2.57, Вареник, 18:42, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    - и чем же он лучше Тем что у него очередная уязвимость пришлась не на весеннее... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.60, Michael Shigorin, 19:13, 13/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Для неизвращённого пользователя -- вообще-то всем Проблемы хабов со сложной ма... весь текст скрыт [показать]
     
  • 1.38, Аноним, 16:57, 13/03/2016 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Exim не готов для подакшена, пусть дальше в песочнице играют.
     
     
  • 2.49, Аноним, 18:06, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    что более лучше готово?
     
  • 2.82, gogo, 21:17, 14/03/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    В песочнице хоронить? Фу...
     
  • 1.46, Michael Shigorin, 17:44, 13/03/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    "Шо, опять?!" (ц)
     
  • 1.56, Вареник, 18:39, 13/03/2016 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Самый надежный, да? :)

    ---------

    Exim’s security record has been fairly clean, with only a handful of serious security problems diagnosed over the years.
    https://en.wikipedia.org/wiki/Exim

     
     
  • 2.61, Michael Shigorin, 19:15, 13/03/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Типовое викивраньё, за которое надо бить линейкой по доступу серийный remote ro... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.77, Namename, 09:17, 14/03/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    О чем ты родной, какой серийный, когда?
     
     
  • 4.79, Michael Shigorin, 11:36, 14/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Хоть http www opennet ru cgi-bin opennet ks cgi mask exim почитайте, раз всё п... весь текст скрыт [показать]
     
  • 1.64, ALex_hha, 20:03, 13/03/2016 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Просто надо иметь ввиду, что уже несколько из них специфичны только для debian и не проявляются на том же RHEL.
     
  • 1.66, pavlinux, 21:52, 13/03/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Да что ж такое, никаких радостей! Третий год все дыры мимо...
    Все одмины как люди - с дырами, фисят, правят, обновляют, имитируют БД.
    И только я, заплесеневший мамонт, на протухшем демьяне.

    $ exim -bV -v
    Exim version 4.72 #1 built 13-Jul-2014 21:26:25

    $ cat /etc/debian_version
    6.0.10

     
     
  • 2.70, Аноним, 00:53, 14/03/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    У меня для тебя плохие новости - эксим настолько древний, что в нём даже уязвим... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.71, pavlinux, 01:03, 14/03/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    У меня для тебя новость - exim это SMTP сервер.
     
     
  • 4.72, Аноним, 02:27, 14/03/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Не проспался после выходных? Бывает.
     
  • 4.81, gogo, 21:15, 14/03/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    а как же sendmail?
    гулять - так гулять!
     
     
  • 5.84, Павел Самсонов, 12:13, 15/03/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Я когда работал с exim в продакшене, запускал его через sudo -u mail со снятыми ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor