The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

13.03.2016 09:56  Критическая локальная уязвимость в Exim

Раскрыты подробности критической уязвимости (CVE-2016-1531) в почтовом сервере Exim, позволяющей непривилегированному локальному пользователю системы выполнить код с правами root. Проблема устранена в выпусках 4.84.2, 4.85.2, 4.86.2, 4.87 RC5 и 4.82.2.

Проблеме подвержены установки, в которых exim собран с поддержкой Perl и поддерживает конфигурационную переменную perl_startup. Для проверки можно запустить "exim -bV -v | grep -i Perl". Обычно perl_startup используется для подключения антивирусов, фильтров, серых списков и систем фильтрации спама. Отсутствие активной настройки perl_startup в файле конфигурации не избавляет от проблемы, если локальный пользователь может запустить свой экземпляр exim со своим файлом конфигурации.

Причиной возникновения уязвимости является отсутствие чистки переменных окружения перед загрузкой скрипта на языке Perl, определённого в параметре perl_startup. Для совершения атаки локальному злоумышленнику достаточно обратиться к sendmail-обвязке /usr/sbin/sendmail.exim, которая ссылается на процесс /usr/sbin/exim, выполняемый с флагом set-uid root. Если в обычных условиях sendmail-обвязка сбрасывает привилегии root, то при запуске с опцией "-ps" имеется возможность выполнить perl-скрипт, указанный в настройках perl_startup, на этапе до сброса привилегий.

Для подстановки своих команд при выполнении указанного в настройках perl-скрипта может применяться переменная окружения PERL5OPT, через которую можно передать опции выполнения интерпретатора perl. Например, указав опцию "-d" интерпретатор перейдёт в интерактивный отладочный режим, в котором можно выполнить произвольный код. Таким образом эксплоит сводится к запуску команды 'PERL5OPT="-d/dev/null" /usr/sbin/sendmail.exim -ps', после чего можно запустить любую системную утилиту с правами root. Например, для запуска команды id в отладочном интерфейсе можно ввести 'p system("id")'.

Уязвимость проявляется в Debian, Ubuntu, SUSE, openSUSE, FreeBSD и Fedora. RHEL проблеме не подвержен. Для защиты от возникновения подобных проблем в будущем в новые версии Exim принят код для фильтрации переменных окружения, который требует внесения изменений в конфигурацию в случае передачи параметров к внешним компонентам через переменные окружения (например, таким способом передаются параметры LDAP). По умолчанию теперь все переменные окружения очищаются, а разрешённые переменные должны быть явно определены в директивах "keep_environment" и "add_environment".

  1. Главная ссылка к новости (http://seclists.org/fulldisclo...)
  2. OpenNews: Выпуск почтового сервера Exim 4.86
  3. OpenNews: В почтовом сервере Exim 4.80.1 устранена критическая уязвимость
  4. OpenNews: Доступен почтовый сервер Exim 4.83 с устранением уязвимости
  5. OpenNews: В почтовом сервере Exim 4.82.1 устранена критическая уязвимость
  6. OpenNews: Опасная уязвимость при использовании рекомендуемых в документации настройках связки Exim и Dovecot
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: exim
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, EuPhobos (ok), 10:12, 13/03/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Урок для дебиан, чтоб не пихал насильно этого монстра в минимально устанавливаемую систему.. Всегда выпиливаю его.
    Не понять мне логики, ssh, который важен для администрирования системы значит вынесен в меню выбора пакетов, и по умолчанию система ставится без него, если не пометить, а эту хрень exim без спроса ставим.
     
     
  • 2.2, Аноним (-), 10:18, 13/03/2016 [^] [ответить]    [к модератору]
  • +6 +/
    По умолчанию разве не эта версия ставится https://packages.debian.org/ru/jessie/exim4-daemon-light ?
     
     
  • 3.11, Andrey Mitrofanov (?), 11:38, 13/03/2016 [^] [ответить]     [к модератору]
  • +4 +/
    1 usr sbin exim -bV -v 124 grep -ci Perl 0 dpkg -S usr sbin exim exim4... весь текст скрыт [показать]
     
  • 2.3, Аноним (-), 10:21, 13/03/2016 [^] [ответить]    [к модератору]  
  • +6 +/
    > Не понять мне логики

    Зачем тебе ssh если у тебя сети нет? А без локального MTA не работает cron

     
     
  • 3.4, EuPhobos (ok), 10:35, 13/03/2016 [^] [ответить]    [к модератору]  
  • –6 +/
    Без сети netinstall дебианский бессмысленный, а зачем крону мта? кричать о выводе исполняемых команд? В общем не пробовал, не знаю, т.к ставлю ssmtpd. ну хотя бы меню выбора что-ль сделали бы.
     
  • 3.5, Аноним (-), 10:49, 13/03/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    >А без локального MTA не работает cron

    Вот тебе , батенька, и юникс-вэй.

     
     
  • 4.29, Аноним (-), 14:42, 13/03/2016 [^] [ответить]    [к модератору]  
  • +/
    >>А без локального MTA не работает cron

    cron рекомендует exim4 | postfix | mail-transport-agent

    Не обязательно его иметь. Ну и заменить 2мя другими можно.

     
     
  • 5.55, Аноним (-), 18:37, 13/03/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    openSMTP тоже сойдет!
     
  • 5.58, Andrey Mitrofanov (?), 18:46, 13/03/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    Не совсем двумя CODE aptitude search mail-transport-agent v mail-transport... весь текст скрыт [показать]
     
  • 3.7, anonymous (??), 11:07, 13/03/2016 [^] [ответить]    [к модератору]  
  • +7 +/
    Работает. Ему просто нужно об этом сказать.
     
  • 2.65, Аноним (-), 21:51, 13/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > Урок для дебиан, чтоб не пихал насильно этого монстра в минимально устанавливаемую систему

    Так и не пихают, я только вчера debootstrap'ом проверял с flavor=minimal, нет там никакого exim.

     
  • 1.6, Аноним (-), 10:54, 13/03/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Вопрос знатокам какие привилегированные действия выполняет exim, что ему требуе... весь текст скрыт [показать]
     
     
  • 2.9, Аноним (-), 11:23, 13/03/2016 [^] [ответить]    [к модератору]  
  • +/
    Может на привилегированный (до 1000) порт вешается?
     
     
  • 3.67, Аноним (-), 21:53, 13/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > Может на привилегированный (до 1000) порт вешается?

    Правильно, незачем пользоваться современными инструментами типа CAPABILITIES, лучше админить как будто 1993 год на дворе.

     
  • 2.10, Аноним (-), 11:24, 13/03/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Пишет в локальные почтовые ящики всех пользователей в системе, например.
     
  • 2.13, Andrey Mitrofanov (?), 11:44, 13/03/2016 [^] [ответить]     [к модератору]  
  • +5 +/
    И тут, внезапно, вступает хор счастливых полmзователей postfix с арией об раздел... весь текст скрыт [показать]
     
     
  • 3.15, EHLO (?), 12:45, 13/03/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    >И тут, внезапно, вступает хор счастливых полmзователей postfix с арией об разделении прав.

    Так пишешь, как будто это плохо.

     
     
  • 4.18, Andrey Mitrofanov (?), 13:15, 13/03/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    >>И тут, внезапно, вступает хор счастливых полmзователей postfix с арией об разделении прав.
    > Так пишешь, как будто это плохо.

    Это плохо.

     
  • 3.20, fail (?), 13:40, 13/03/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Ыыы, запахло холиваром не доводилось копаться в кишках exim 1 из 3 mta вто... весь текст скрыт [показать]
     
     
  • 4.21, Andrey Mitrofanov (?), 13:46, 13/03/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Модули есть, а разделения привилегий не довложили, SUIDов накостылили А моду... весь текст скрыт [показать]
     
     
  • 5.30, fail (?), 14:44, 13/03/2016 [^] [ответить]     [к модератору]  
  • +/
    понятно, нет золотой середины, я для для базового и быстрого архитектурного вп... весь текст скрыт [показать]
     
  • 4.23, all_glory_to_the_hypnotoad (ok), 13:59, 13/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > он что архитектypнo не модульный ?

    примено да, большой монолит в виде одного бинарника со всеми функиями.

     
  • 2.34, SubGun (??), 15:29, 13/03/2016 [^] [ответить]     [к модератору]  
  • +/
    Такие же, какие выполняет nginx и др подобные программы ... весь текст скрыт [показать]
     
     
  • 3.37, Аноним (-), 16:31, 13/03/2016 [^] [ответить]     [к модератору]  
  • –2 +/
    да кто ж nginx из-под рута запускать будет для каждого демона нынче отдельного ... весь текст скрыт [показать]
     
     
  • 4.73, Алексей Морозов (ok), 06:01, 14/03/2016 [^] [ответить]     [к модератору]  
  • +/
    Ну, строго говоря, _запускают_ его именно под рутом из-за 80-го порта Правда, п... весь текст скрыт [показать]
     
     
  • 5.89, ЫгиПгт (?), 18:25, 15/03/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Внезапно root 826 0 0 0 0 90876 3004 Ss Mar10 0 00 nginx... весь текст скрыт [показать]
     
     
  • 6.94, . (?), 03:50, 16/03/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > Внезапно:

    Да бросьте, Поручик! Тут этого никто не оценит! (С) :-)

     
     
  • 7.97, Алексей Морозов (ok), 20:37, 16/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > Да бросьте, Поручик! Тут этого никто не оценит! (С) :-)

    Это не Поручик, это целый Капитан!


     
  • 5.98, Павел Самсонов (?), 09:52, 17/03/2016 [^] [ответить]     [к модератору]  
  • +/
    Exinm оставляет stored uid 0, он не всё дропает, в ps не все видно ... весь текст скрыт [показать]
     
  • 2.48, Michael Shigorin (ok), 17:54, 13/03/2016 [^] [ответить]     [к модератору]  
  • +/
    Не специалист тут бы хорошо solardiz или ldv позвать , но вообще-то suid root ... весь текст скрыт [показать]
     
     
  • 3.52, Andrey Mitrofanov (?), 18:33, 13/03/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Лет мии даггаггоу зет фоур юу фром май харт https duckduckgo com q why exim ... весь текст скрыт [показать]
     
     
  • 4.63, Michael Shigorin (ok), 19:21, 13/03/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Благодарю Про условный mailq специально ведь упомянул ... весь текст скрыт [показать]
     
     
  • 5.96, Andrey Mitrofanov (?), 12:12, 16/03/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Там второй пункт не про mailq, а про встроенный LDA лок юзер vasya пишет лок ... весь текст скрыт [показать]
     
  • 3.53, dep346 (ok), 18:33, 13/03/2016 [^] [ответить]     [к модератору]  
  • +/
    После этих слов следовало бы остановиться Далее идут высказывания, явно путающи... весь текст скрыт [показать]
     
     
  • 4.62, Michael Shigorin (ok), 19:20, 13/03/2016 [^] [ответить]     [к модератору]  
  • –2 +/
    и задуматься -- а не понимает ли отрекомендовавшийся так тему лучше иных спе... весь текст скрыт [показать]
     
     
  • 5.74, Алексей Морозов (ok), 06:07, 14/03/2016 [^] [ответить]     [к модератору]  
  • +/
    Убогость архитектуры Надо сделать несколько привилегированных операций наприме... весь текст скрыт [показать]
     
     
  • 6.88, ЫгиПгт (?), 18:20, 15/03/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Ну, от человека, который использует postfix ничего другого ожидать и не приходится.
     
     
  • 7.92, Michael Shigorin (ok), 19:45, 15/03/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Зная Лёшу лично, а этого кота впервые видя -- поухмыляюсь над такими оценками ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (26)

  • 1.8, Аноним (8), 11:16, 13/03/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +4 +/
    По умолчанию в Дебиане ставится exim-daemon-light, а собран с Перлом, и таким об... весь текст скрыт [показать]
     
     
  • 2.75, Алексей Морозов (ok), 06:12, 14/03/2016 [^] [ответить]     [к модератору]  
  • –2 +/
    Знаете, как подох sendmail Он подох, когда бо 769 льшая часть логики обработки... весь текст скрыт [показать]
     
     
  • 3.83, Аноним 80_уровня (ok), 11:14, 15/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > Он подох, когда бо́льшая часть логики обработки почты оказалась в конфигурации.

    Вас послушать, так он мёртвым родился и мёртвым почту передавал лет тридцать.

     
  • 3.90, ЫгиПгт (?), 18:30, 15/03/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Странно, ни одного нормального MTA, кроме Exim не видел Ну как бы они есть, как... весь текст скрыт [показать]
     
     
  • 4.91, Michael Shigorin (ok), 19:44, 15/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > Но для локалхоста да, сойдут.

    Забавно, а по каким критериям сравнивали?

     
  • 1.12, grsec (ok), 11:39, 13/03/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –5 +/
    Дебиан. Стабильность. Энтерпрайз.
     
  • 1.16, LeNiN (ok), 12:55, 13/03/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Бывает.
     
  • 1.22, all_glory_to_the_hypnotoad (ok), 13:56, 13/03/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    А если бы кретины из debian выбирали нормальные пакеты для дефолтной установки, Postfix например, то такого треша не было бы.
     
     
  • 2.24, Аноним (-), 14:23, 13/03/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    чёрт с ним, с exim'ом! вы посмотрите какую наркоманию они развели для его настройки!
     
     
  • 3.28, Andrey Mitrofanov (?), 14:39, 13/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > чёрт с ним, с exim'ом! вы посмотрите какую наркоманию они

    А Вы, извините, эксперт? В наркомании? Да, расскажите нам подробнее.

     
  • 3.31, Аноним (8), 14:45, 13/03/2016 [^] [ответить]    [к модератору]  
  • +6 +/
    К счастью, "наркомания" элементарно отключается - достаточно создать свой /etc/exim4/exim4.conf .

     
     
  • 4.40, DeadLoco (ok), 17:18, 13/03/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Причем - одним файлом, а не винегрет из полсотни инклудов по три строчки каждый.
     
     
  • 5.76, Енотполоскун (ok), 07:34, 14/03/2016 [^] [ответить]    [к модератору]  
  • +/
    А Bind то тут при чем?
     
  • 2.33, SubGun (??), 15:27, 13/03/2016 [^] [ответить]     [к модератору]  
  • –2 +/
    При чем тут всякое дерьмо, типа postfix Вопросы к тупому сборщику пакетов, кото... весь текст скрыт [показать]
     
     
  • 3.41, all_glory_to_the_hypnotoad (ok), 17:19, 13/03/2016 [^] [ответить]     [к модератору]  
  • +/
    Всякое дерьмо это exim Предьявы не к сборщику пакетов, а к архитекторам экзима ... весь текст скрыт [показать]
     
     
  • 4.45, Andrey Mitrofanov (?), 17:34, 13/03/2016 [^] [ответить]     [к модератору]  
  • +/
    Спасибо - от лица всех пользователей D С восхищением следим за Вашим бесприме... весь текст скрыт [показать]
     
  • 4.78, scorry (ok), 11:19, 14/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > ... в дистрибутиве большинство пользователей которого виндузоподобные дурачки

    И снова вопрос: какой дистр является кошерным с твоей точки зрения? Вываливай, гуру.

     
     
  • 5.80, Аноним (-), 18:30, 14/03/2016 [^] [ответить]    [к модератору]  
  • +/
    Gentoo, конечно.
     
     
  • 6.85, scorry (ok), 12:57, 15/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > Gentoo, конечно.

    LFS не катит, не?

     
     
  • 7.93, all_glory_to_the_hypnotoad (ok), 20:52, 15/03/2016 [^] [ответить]    [к модератору]  
  • +/
    не катит
     
  • 2.57, Вареник (?), 18:42, 13/03/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    >> Postfix например

    - и чем же он лучше? Тем что у него очередная уязвимость пришлась не на весеннее обострение?

     
     
  • 3.60, Michael Shigorin (ok), 19:13, 13/03/2016 [^] [ответить]     [к модератору]  
  • +/
    Для неизвращённого пользователя -- вообще-то всем Проблемы хабов со сложной ма... весь текст скрыт [показать]
     
  • 1.38, Аноним (-), 16:57, 13/03/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Exim не готов для подакшена, пусть дальше в песочнице играют.
     
     
  • 2.49, Аноним (-), 18:06, 13/03/2016 [^] [ответить]    [к модератору]  
  • +/
    что более лучше готово?
     
  • 2.82, gogo (?), 21:17, 14/03/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    В песочнице хоронить? Фу...
     
  • 1.46, Michael Shigorin (ok), 17:44, 13/03/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    "Шо, опять?!" (ц)
     
  • 1.56, Вареник (?), 18:39, 13/03/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Самый надежный, да? :)

    ---------

    Exim’s security record has been fairly clean, with only a handful of serious security problems diagnosed over the years.
    https://en.wikipedia.org/wiki/Exim

     
     
  • 2.61, Michael Shigorin (ok), 19:15, 13/03/2016 [^] [ответить]     [к модератору]  
  • +/
    Типовое викивраньё, за которое надо бить линейкой по доступу серийный remote ro... весь текст скрыт [показать]
     
     
  • 3.77, Namename (?), 09:17, 14/03/2016 [^] [ответить]    [к модератору]  
  • +/
    О чем ты родной, какой серийный, когда?
     
     
  • 4.79, Michael Shigorin (ok), 11:36, 14/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > О чем ты родной, какой серийный, когда?

    Хоть https://www.opennet.ru/cgi-bin/opennet/ks.cgi?mask=exim почитайте, раз всё пропустили.

     
  • 1.64, ALex_hha (ok), 20:03, 13/03/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Просто надо иметь ввиду, что уже несколько из них специфичны только для debian и не проявляются на том же RHEL.
     
  • 1.66, pavlinux (ok), 21:52, 13/03/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Да что ж такое, никаких радостей! Третий год все дыры мимо...
    Все одмины как люди - с дырами, фисят, правят, обновляют, имитируют БД.
    И только я, заплесеневший мамонт, на протухшем демьяне.

    $ exim -bV -v
    Exim version 4.72 #1 built 13-Jul-2014 21:26:25

    $ cat /etc/debian_version
    6.0.10

     
     
  • 2.70, Аноним (-), 00:53, 14/03/2016 [^] [ответить]    [к модератору]  
  • +/
    У меня для тебя плохие новости - "эксим настолько древний, что в нём даже уязвимости находить перестали" - отнюдь не главная твоя проблема.
     
     
  • 3.71, pavlinux (ok), 01:03, 14/03/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    У меня для тебя новость - exim это SMTP сервер.
     
     
  • 4.72, Аноним (-), 02:27, 14/03/2016 [^] [ответить]    [к модератору]  
  • +/
    Не проспался после выходных? Бывает.
     
  • 4.81, gogo (?), 21:15, 14/03/2016 [^] [ответить]    [к модератору]  
  • +/
    а как же sendmail?
    гулять - так гулять!
     
     
  • 5.84, Павел Самсонов (?), 12:13, 15/03/2016 [^] [ответить]     [к модератору]  
  • +/
    Я когда работал с exim в продакшене, запускал его через sudo -u mail со снятыми ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor