The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Сети зафиксированы факты активной эксплуатации уязвимой конфигурации связки Exim и Dovecot

29.07.2013 19:58

Центр противодействия угрозам в Интернет уведомил пользователей о всплеске атак, направленных на поражение систем, использующих уязвимую конфигурацию связки Exim и Dovecot. Несмотря на то, что информация об уязвимости была опубликована в начале мая, спустя три месяца в Сети остаётся достаточное количество уязвимых серверов, представляющих интерес для проведения атак по внедрению бэкдора. После успешной атаки на сервер устанавливается небольшой perl-скрипт /tmp/p.pl, выполняющий функции простого IRC-сервера и обрабатывающий некоторые управляющие команды.

Поражение производится через рассылку писем, эксплуатирующих уязвимость через указание специально оформленного заголовка Return-Path, при обработке которого Exim при обращении к агенту доставки запускает утилиту wget, загружает скрипт и выполняет его. Проблема проявляется в системах, в которых в конфигурации Exim указана опция "use_shell" в блоке подключения Dovecot. При использовании опции "use_shell" агент доставки запускается с использованием shell и передачей параметров в командной строке. Метод эксплуатации достаточно прост и сводится к манипуляции с экранированием спецсимволов, позволяя в итоге добиться выполнения shell-команд.

  1. Главная ссылка к новости (https://isc.sans.edu/diary/Dov...)
  2. OpenNews: Опасная уязвимость при использовании рекомендуемых в документации настройках связки Exim и Dovecot
  3. OpenNews: Релиз почтового сервера Exim 4.74 с устранением уязвимости
  4. OpenNews: Критическая уязвимость в почтовом сервере Exim
  5. OpenNews: В почтовом сервере Exim 4.80.1 устранена критическая уязвимость
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/37539-dovecot
Ключевые слова: dovecot, exim, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (22) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, YetAnotherOnanym (ok), 23:32, 29/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вроде чисто. Но как это я ту новость от 4 мая упустил?
     
  • 1.2, Аноним (-), 00:52, 30/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    сколько себя помню, всегда ставили в пример связку эксим+довекот, а оказывается вон какая бага то...
     
     
  • 2.4, all_glory_to_the_hypnotoad (ok), 01:20, 30/07/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    кто ставил? дайте этим балбесам по морде. Не из-за баги выше, конечно, просто экзим гогно в совокупности подобных косяков.
     
     
  • 3.6, Вонни (?), 01:24, 30/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Автор вики мудаг что юзает eval в заголовке письма
     
     
  • 4.14, all_glory_to_the_hypnotoad (ok), 01:14, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    проблема что ему позволили быть мудаком, причём совершенно без каких-либо лишних телодвижений. Это фейл экзима, ибо он почти везде (считай, архитектурно) имеет подобные подьёбки.
     
     
  • 5.20, DeadLoco (ok), 12:32, 01/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Особо одаренные ухитряются порезаться  даже листом бумаги. Даааа, бумага фейл, архитектурный косяк...
     
  • 3.10, raven_kg (ok), 07:42, 30/07/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Руки надо прямые иметь, а не юзать щель-скрипты хрен пойми через какую задницу прикрученые!
    Ну вот я юзаю exim - то есть я по твоей логике автоматически становлюсь балбесом юзающим  "гогно". Рискнешь дать по морде?!
     
     
  • 4.15, all_glory_to_the_hypnotoad (ok), 01:17, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    если ты ламо и советуешь из-за своей неграмотности другим юзать экзим, то да, становишься.

    > Рискнешь дать по морде?!

    думаешь, в этом мероприятии есть риск?

     
  • 2.12, anonymous (??), 13:01, 30/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    fixed
    "сколько себя помню, всегда ставили в пример связку эксим+довекот, а оказывается вон какая бугага то..."
     
  • 2.22, DeadLoco (ok), 13:49, 02/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > сколько себя помню, всегда ставили в пример связку эксим+довекот, а оказывается вон
    > какая бага то...

    Да не бага это никакая - попуститесь.
    Открываете раздел 29.5 спеков экзима и читаете:

    use_shell Use: pipe Type: boolean Default: false

    If this option is set, it causes the command to be passed to /bin/sh instead of being run directly from the transport, as described in section 29.3. This is less secure, but is needed in some situations where the command is expected to be run under a shell and cannot easily be modified.

    Никто никого не заставляет юзать небезопасный механизм - он создан для совсем уж критических случаев, когда некуда деваться. В норме он использоваться не должен - и не используется.

     

  • 1.3, Аноним (-), 01:09, 30/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > При использовании опции "use_shell" агент доставки запускается с использованием shell и передачей параметров в командной строке.

    Очевидная бага, удивительно что её не заметили при тестировании.

     
     
  • 2.5, all_glory_to_the_hypnotoad (ok), 01:21, 30/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    интересно, как? нужно же знать заранее как именно формировать адрес. В этом то и всё блядство шелла.
     
     
  • 3.7, Аноним (-), 02:23, 30/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да какая разница «как»? Очевидно же что интерпретируемые значения нужно экранировать.

      command = /usr/lib/dovecot/deliver -e -k -s \
          -f "$sender_address" -a "$original_local_part@$original_domain"
      use_shell

    непонятно как можно так ошибиться...

     
     
  • 4.8, Вонни (?), 02:30, 30/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    lua использовать нужно было
     
  • 4.16, all_glory_to_the_hypnotoad (ok), 01:19, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    очевидно, что в таком сервисе не должно быть интерпретируемых значений через шел. А ошибиться можно даже и в случае экранирования "", шел много каких гадостей может принести при определённых условиях.
     

  • 1.9, ILYA INDIGO (ok), 03:55, 30/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    postfix+dovecot полёт нормальный.
     
  • 1.11, robux (ok), 09:27, 30/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Специально проверял свои конфиги (экзим+довекот) в мае - опция "shell" у меня везде отключена 8-)
     
     
  • 2.17, Игорь (??), 09:29, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А как проверить отключена опция или нет?
     
     
  • 3.19, robux (ok), 10:51, 31/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > А как проверить отключена опция или нет?

    Строка "use_shell" не должна фигурировать в exim4.conf.

     

  • 1.13, Аноним (-), 17:10, 30/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Показан переход на Zimbra.
     
  • 1.18, Аноним (-), 09:48, 31/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нету у меня
    use_shell
    в exim.conf

    Но баги периодически вылезают.

     
     
  • 2.21, DeadLoco (ok), 15:42, 01/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Но баги периодически вылезают.

    Какого рода баги?
    У меня в среднем через один экзим прокачивается 10-20к писем в сутки, все работает, как часики, никаких проблем от слова "вообще". Может я что-то делаю не так?


     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру