【通告更新】Exim Mail Server遠程代碼執行漏洞安全風險通告第三次更新

風險通告

近日，奇安信CERT監測到友商發布了《Exim 4整數溢出致任意代碼執行漏洞（CVE-2020-28020）風險通告》，經奇安信CERT判斷，該漏洞詳情及POC已于5月份在互聯網上公開，奇安信CERT已發布多次風險通告提醒用戶進行升級。Exim存在整數溢出漏洞，該漏洞源于receive_msg函數，攻擊者可以通過””繞過Exim對郵件頭大小的限制，從而造成整數溢出，利用該漏洞可以在未經身份驗證的情況下造成拒絕服務或者遠程代碼執行。鑒于該漏洞影響較大，建議客戶盡快自查修復。

此次更新內容：

奇安信CERT已成功復現Exim 4整數溢出漏洞(CVE-2020-28020)

新增奇安信產品線解決方案

新增影響范圍詳情

當前漏洞狀態

細節是否公開

PoC狀態

EXP狀態

在野利用

是（部分）

已公開（部分）

未知

未知

漏洞描述

Exim是一種流行的郵件傳輸代理（MTA），可在類Unix操作系統運行，并已預裝在Linux發行版（如Debian）中。據統計，互聯網上60％的可公開訪問的郵件服務器都運行了Exim，使其成為最受歡迎的郵件服務器，將近400萬臺Exim服務器直接暴露在互聯網上。

在公布的21個漏洞當中，影響范圍大多為Exim 2004年后公布的版本。

21個漏洞如下：

可遠程利用的漏洞：

CVE-2020-28017：receive_add_recipient()中的整數溢出漏洞

CVE-2020-28020：receive_msg()中的整數溢出漏洞

CVE-2020-28023：在smtp_setup_msg()中越界讀取漏洞

CVE-2020-28021：向spool頭文件注入漏洞

CVE-2020-28022：在extract_option()中堆越界讀取和寫入漏洞

CVE-2020-28026：spool_read_header()中的行截斷和注入漏洞

CVE-2020-28019：BDAT錯誤后無法重置函數指針漏洞

CVE-2020-28024：smtp_ungetc()中的堆緩沖區下溢漏洞

CVE-2020-28018：tls-openssl.c 釋放后重用漏洞

CVE-2020-28025：在pdkim_finish_bodyhash()中的堆越界讀取漏洞

本地利用漏洞：

CVE-2020-28007：日志目錄中創建符號鏈接可造成本地提權漏洞

CVE-2020-28008：在spool目錄的各種攻擊

CVE-2020-28014：任意文件創建和損壞漏洞

CVE-2021-27216：任意文件刪除漏洞

CVE-2020-28011：queue_run()中的堆緩沖區溢出漏洞

CVE-2020-28010：mian()中的堆越界漏洞寫入

CVE-2020-28013：parse_fix_phrase()中的堆緩沖區溢出漏洞

CVE-2020-28016：parse_fix_phrase()中的堆越界寫入漏洞

CVE-2020-28015：向spool頭文件注入漏洞

CVE-2020-28012：Exim 會創建一個非特權的進程，但是這個進程的 close-on-exec 這個flag 沒有設置，導致可以訪問特權進程的一些文件描述符(fd) 因此可以對這些文件進行讀寫

CVE-2020-28009：get_stdinput()中的整數溢出漏洞

Qualys并未發布任何完整的漏洞Poc，但上述漏洞的組合利用可使攻擊者在Exim服務器上遠程以root權限執行系統命令。漏洞危害極大。

奇安信CERT第一時間復現了Exim多個本地利用漏洞，復現截圖如下：

CVE-2020-28007：日志目錄中創建符號鏈接可造成本地提權漏洞

CVE-2020-28008：在spool目錄的各種攻擊

緩沖區溢出

創建鏈接 獲取文件所有權

CVE-2020-28011：queue_run()中的堆緩沖區溢出漏洞

CVE-2020-28013：parse_fix_phrase()中的堆緩沖區溢出漏洞

CVE-2020-28014：任意文件創建和損壞漏洞

CVE-2020-28020：receive_msg()中的整數溢出漏洞

風險等級

奇安信 CERT風險評級為：高危

風險等級：藍色（一般事件）

影響范圍

Exim Mail Server 2004年后發布版本

Exim < 4.94.2 

參考鏈接: https://www.exim.org/static/doc/security/CVE-2020-qualys/CVE-2020-28020-HSIZE.txt

CVE-2020-28010: Exim = 4.92

CVE-2020-28018: 4.90 <= Exim < 4.94

CVE-2020-28019: Exim = 4.88

CVE-2020-28020: Exim < 4.92

CVE-2020-28022: Exim = 4.89

CVE-2020-28023: Exim = 4.88

CVE-2020-28025: Exim = 4.70

CVE-2021-27216: Exim = 4.94

處置建議

官方修復及補丁具體參考：

https://www.qualys.com/2021/05/04/21nails/21nails.txt

官方補丁指導:

https://www.exim.org/static/doc/security/CVE-2020-qualys/

目前，該通告中所有漏洞已在4.94.2得到修復。