【通告更新】Exim Mail Server远程代码执行漏洞安全风险通告第三次更新

  • A+
所属分类:安全漏洞
【通告更新】Exim Mail Server远程代码执行漏洞安全风险通告第三次更新

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信CERT监测到友商发布了《Exim 4整数溢出致任意代码执行漏洞(CVE-2020-28020)风险通告》,经奇安信CERT判断,该漏洞详情及POC已于5月份在互联网上公开,奇安信CERT已发布多次风险通告提醒用户进行升级。Exim存在整数溢出漏洞,该漏洞源于receive_msg函数,攻击者可以通过”n”绕过Exim对邮件头大小的限制,从而造成整数溢出,利用该漏洞可以在未经身份验证的情况下造成拒绝服务或者远程代码执行。鉴于该漏洞影响较大,建议客户尽快自查修复。

此次更新内容:

奇安信CERT已成功复现Exim 4整数溢出漏洞(CVE-2020-28020)

新增奇安信产品线解决方案

新增影响范围详情



当前漏洞状态



细节是否公开

PoC状态

EXP状态

在野利用

是(部分)

已公开(部分)

未知

未知




漏洞描述

Exim是一种流行的邮件传输代理(MTA),可在类Unix操作系统运行,并已预装在Linux发行版(如Debian)中。据统计,互联网上60%的可公开访问的邮件服务器都运行了Exim,使其成为最受欢迎的邮件服务器,将近400万台Exim服务器直接暴露在互联网上。

在公布的21个漏洞当中,影响范围大多为Exim 2004年后公布的版本。

21个漏洞如下:

可远程利用的漏洞:

CVE-2020-28017:receive_add_recipient()中的整数溢出漏洞

CVE-2020-28020:receive_msg()中的整数溢出漏洞

CVE-2020-28023:在smtp_setup_msg()中越界读取漏洞

CVE-2020-28021:向spool头文件注入漏洞

CVE-2020-28022:在extract_option()中堆越界读取和写入漏洞

CVE-2020-28026:spool_read_header()中的行截断和注入漏洞

CVE-2020-28019:BDAT错误后无法重置函数指针漏洞

CVE-2020-28024:smtp_ungetc()中的堆缓冲区下溢漏洞

CVE-2020-28018:tls-openssl.c 释放后重用漏洞

CVE-2020-28025:在pdkim_finish_bodyhash()中的堆越界读取漏洞


本地利用漏洞:

CVE-2020-28007:日志目录中创建符号链接可造成本地提权漏洞

CVE-2020-28008:在spool目录的各种攻击

CVE-2020-28014:任意文件创建和损坏漏洞

CVE-2021-27216:任意文件删除漏洞

CVE-2020-28011:queue_run()中的堆缓冲区溢出漏洞

CVE-2020-28010:mian()中的堆越界漏洞写入

CVE-2020-28013:parse_fix_phrase()中的堆缓冲区溢出漏洞

CVE-2020-28016:parse_fix_phrase()中的堆越界写入漏洞

CVE-2020-28015:向spool头文件注入漏洞

CVE-2020-28012:Exim 会创建一个非特权的进程,但是这个进程的 close-on-exec 这个flag 没有设置,导致可以访问特权进程的一些文件描述符(fd) 因此可以对这些文件进行读写

CVE-2020-28009:get_stdinput()中的整数溢出漏洞

Qualys并未发布任何完整的漏洞Poc,但上述漏洞的组合利用可使攻击者在Exim服务器上远程以root权限执行系统命令。漏洞危害极大。


奇安信CERT第一时间复现了Exim多个本地利用漏洞,复现截图如下:

CVE-2020-28007:日志目录中创建符号链接可造成本地提权漏洞

【通告更新】Exim Mail Server远程代码执行漏洞安全风险通告第三次更新


CVE-2020-28008:在spool目录的各种攻击

缓冲区溢出

【通告更新】Exim Mail Server远程代码执行漏洞安全风险通告第三次更新


创建链接 获取文件所有权

【通告更新】Exim Mail Server远程代码执行漏洞安全风险通告第三次更新


CVE-2020-28011:queue_run()中的堆缓冲区溢出漏洞

【通告更新】Exim Mail Server远程代码执行漏洞安全风险通告第三次更新


CVE-2020-28013:parse_fix_phrase()中的堆缓冲区溢出漏洞

【通告更新】Exim Mail Server远程代码执行漏洞安全风险通告第三次更新


CVE-2020-28014:任意文件创建和损坏漏洞

【通告更新】Exim Mail Server远程代码执行漏洞安全风险通告第三次更新

CVE-2020-28020:receive_msg()中的整数溢出漏洞

【通告更新】Exim Mail Server远程代码执行漏洞安全风险通告第三次更新



风险等级


奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)



影响范围

Exim Mail Server 2004年后发布版本

Exim < 4.94.2 

参考链接: https://www.exim.org/static/doc/security/CVE-2020-qualys/CVE-2020-28020-HSIZE.txt

CVE-2020-28010: Exim = 4.92

CVE-2020-28018: 4.90 <= Exim < 4.94

CVE-2020-28019: Exim = 4.88

CVE-2020-28020: Exim < 4.92

CVE-2020-28022: Exim = 4.89

CVE-2020-28023: Exim = 4.88

CVE-2020-28025: Exim = 4.70

CVE-2021-27216: Exim = 4.94



处置建议

官方修复及补丁具体参考:

https://www.qualys.com/2021/05/04/21nails/21nails.txt

官方补丁指导:

https://www.exim.org/static/doc/security/CVE-2020-qualys/

目前,该通告中所有漏洞已在4.94.2得到修复。




产品解决方案

奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本将于7月27日发布入侵防御规则库2021.07.27版本,支持对CVE-2020-28020 exim整数溢出漏洞的防护,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台将于7月27发布入侵防御规则库10394版本,支持对CVE-2020-28020 exim整数溢出漏洞的防护,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。


奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:30243,建议用户尽快升级检测规则库至2107262300以后版本并启用该检测规则。


奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0726.12955上版本。规则名称:Exim Mail Server远程代码执行漏洞(CVE-2020-28020),规则ID:0x5daa。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。


奇安信网神智慧防火墙产品防护方案

奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2107272100” 及以上版本并启用规则ID: 1249101进行检测。



参考资料

[1]https://threatpost.com/exim-security-linux-mail-server-takeovers/165894/?utm_source=dlvr.it&utm_medium=twitter

[2]https://www.qualys.com/2021/05/04/21nails/21nails.txt



时间线

2021年5月6日,奇安信 CERT发布安全风险通告

2021年5月11日,奇安信CERT发布安全风险通告第二次更新

2021年7月27日,奇安信CERT发布安全风险通告第三次更新

点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情






【通告更新】Exim Mail Server远程代码执行漏洞安全风险通告第三次更新

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓


本文始发于微信公众号(奇安信 CERT):【通告更新】Exim Mail Server远程代码执行漏洞安全风险通告第三次更新

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: