В Exim найдены уязвимости, затрагивающие более 50 % почтовых серверов в Сети

Согласно исследованию, проведённому в марте 2017 года, 56% всех почтовых серверов в Сети используют Exim. Другой отчёт оперирует числами — миллионами . Именно поэтому найденные в агенте пересылки сообщений (mail transfer agent, MTA) уязвимости вызывают всеобщее опасение.

Выполнение кода и DoS-атаки

Тайваньский исследователь под псевдонимом mehqq_ сообщил, что в последних версиях агента Exim 4.88 и 4.89 обнаружены уязвимости, позволяющие выполнять на сервере произвольный код и осуществлять DoS-атаки.

Первый баг получил идентификатор CVE-2017-16943 и является use-after-free уязвимостью. Он влияет на функцию chunking, созданную для разбиения электронных писем на отдельные куски (chunks) при помощи специальных BDAT-команд. Именно из-за неправильной обработки этих команд злоумышленник может получить доступ к настройкам агента и выполнить вредоносный код на удалённом сервере.

Более безобидный баг с идентификатором CVE-2017-16944 также связан с BDAT-командами. Он может вызвать отказ в обслуживании (DoS), запустив бесконечный цикл, что приведёт к сбоям уязвимых серверов.

Proof-of-concept уязвимостей в свободном доступе

Согласно оценкам экспертов, в Сети насчитывается порядка 400 тысяч уязвимых серверов.

Проблема также заключается в том, что mehqq_ не смог найти адреса электронной почты разработчиков Exim, чтобы передать им свои находки. Ему пришлось обнародовать подробную информацию о них, в том числе и proof-of-concept, на публично доступном баг-трекере компании. К чести разработчиков, они признали, что специалист прав, и очевидного способа связаться с ними действительно не существовало.

Что делать?

По словам Фила Пеннока, одного из разработчиков Exim, предварительный патч уже существует, но ещё не утверждён. Для избежания проблем, связанных с CVE-2017-16943, он советует в файле настройки вашего Exim установить пустое значение равным полю chunking_advertise_hosts. Это позволить отключить расширение ESMTP CHUNKING, делая BDAT недоступным извне и не позволяя хакеру злоупотреблять неисправной логикой серверов.

К сожалению, точной даты выхода внеочередного обновления нет, но владельцы серверов должны ожидать появление Exim 4.90 в ближайшие дни или недели.