Поделиться
Команде Exim больше года не было дела до критических уязвимостей
В почтовом сервере Exim выявлена целая гроздь уязвимостей, одна из которых - критическая. Разработчики год не могли их исправить, и дело сдвинулось только после того, как информация о «багах» была раскрыта.Шесть индексов CVE
Шесть уязвимостей нулевого дня во всех версиях почтового программного обеспечения (ПО) Exim Mail Transfer Agent потенциально угрожают миллионам серверов.
Exim сам по себе является программным почтовым сервером с открытым исходным кодом для Unix-подобных операционных систем. Это само по себе говорит о высокой степени распространенности этого ПО.
На прошлой неделе стало известно сразу о шести уязвимостях в Exim, из которых наиболее опасная получила 9,8 баллов по шкале CVSS 3.0, ещё две - 8,1. Одной присвоили 7,5 баллов, двум другим - 3,7 и 3,1 балла, соответственно.
Информация об этих «багах» была обнародована через программу вознаграждения исследователей за обнаружение уязвимостей Zero Day Initiative компании Trend Micro.
Критическая уязвимость - CVE-2023-42115 - была выявлена анонимным экспертом по безопасности. Этот «баг», обнаруженный непосредственно в службе SMTP, позволяет записывать данные за пределами выделенного буфера памяти, что может привести либо к отказу программы, либо - в худшем случае - позволит запускать произвольный код или команду на сервере в обход всякой авторизации. Проблема связана с отсутствием надлежащей валидации данных, вводимых пользователем.
Запуск произвольного кода также допускают уязвимости CVE-2023-42116 (переполнение буфера стека в SMTP, 8,1 балла), CVE-2023-42117 (некорректная нейтрализация специальных элементов, 8,1 балла) и СVE-2023-42118 (целочисленное опустошение в libspf2, 7,5 балла).
Уязвимости СVE-2023-42114 и СVE-2023-42118 допускают считывание данных за пределами выделенного буфера, что может привести к раскрытию и выводу значимой информации с сервера.
Информация обо всех этих уязвимостях была опубликована специалистами Trend Micro ZDI до того, как разработчики Exim выпустили исправления. Никаких этических нарушений эксперты не допустили: информация об этих уязвимостях впервые была передана в Exim в 2022 году, и потом разработчикам неоднократно напоминали, что патчи пора бы и выпустить.
Всё было без толку, до тех пор, пока эксперты ZDI не опубличили сведения об уязвимостях.
Когда гром ударил
Исправления для трех уязвимостей - 3,7-балльной CVE-2023-42114, критической CVE-2023-42115 и восьмибалльной CVE-2023-42116 - появились в считанные дни. В Exim утверждают, что на самом деле они уже были доступны в защищенном репозитории и готовы к распространению.
По утверждению разработчика, эксплуатация CVE-2023-42115 возможна только при наличии внешнего средства авторизации на целевых серверах. Так что, хотя через поисковик Shodan видны 3,5 млн серверов Exim, резко снижает количество серверов, которые действительно можно атаковать.
Эксперты компании watchTowr Labs также указывают, что для эксплуатации этих уязвимостей требуется соблюдение ряда условий, причём не всегда типичных.
«Успешная эксплуатация уязвимостей зачастую зависит от множества факторов, и уровень риска зависит от них напрямую», - говорит Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. «Поэтому оставлять без внимания не стоит даже трехбалльные «баги», тем более, что иногда - очень редко, но всё же - они внезапно превращаются в критические», - считает Дмитрий Пешков.
Самым неприятным моментом по мнению эксперта является тот факт, что у разработчиков Exim в течение года не находилось времени исправить хотя бы критическую уязвимость из этого списка. «Все эти ошибки - следствие чрезвычайно распространенных ошибок программистов, которые обычно легко исправить», - подытожил Дмитрий Пешков.
Ранее один из разработчиков заявил, что для исправления оставшихся проблем им «не хватает информации».
Короткая ссылка
