Согласно публично доступной статистике, около 56% почтовых серверов в интернете используют в своей работе Exim. В связи с этим сложно переоценить важность уязвимостей в составе Exim, которые обнаружил специалист тайваньской компании DEVCORE, известный под псевдонимом mehqq_. Первый баг в популярном агенте пересылки сообщений (mail transfer agent, MTA) позволяет удаленно выполнить на уязвимом сервере произвольный код, а вторая проблема помогает осуществить DoS-атаку.
Согласно официальному предупреждению, опубликованному разработчиками Exim, уязвимости затрагивают Exim 4.88 и 4.89, то есть две самые свежие версии.
Наибольшую опасность представляет проблема, получившая идентификатор CVE-2017-16943. Это use-after-free баг, который ведет к удаленному исполнению произвольного кода на сервере. Уязвимость сопряжена с работой функции chunking, которая позволяет разбивать электронные письма на отдельные «куски» (chunk) при помощи специальных BDAT-команд и пересылать их по частям. В этой связи всем пользователям настоятельно рекомендуется отключить ESMTP CHUNKING, оставив пустым значение параметра chunking_advertise_hosts в настройках.
Второй баг менее опасен, он получил идентификатор CVE-2017-16944. Данная брешь тоже связана с chunking и позволяет осуществить DoS-атаку, которая выведет уязвимый сервер из строя.
Основная проблема, связанная с обеими уязвимостями, заключается в том, что тайваньский исследователь обнародовал всю подробную информацию о них, наряду с proof-of-concept эксплоитом, на публично доступном баг-трекере Exim. Специалист объяснил, что не смог уведомить разработчиков о проблемах в частном порядке, так как не нашел email-адреса, по которому мог бы с ними связаться. Стоит отметить, что разработчики уже признали, что в этом отношении специалист был прав, очевидного способа связи действительно не было.
Так как разработчики узнали о проблемах одновременно со всем остальным миром, патчей для них пока нет (только исходники предварительной версии "заплатки" для RCE-бага). Стоит сказать, что по оценкам сторонних ИБ-экспертов и данным Shodan, в сети насчитывается как минимум 400 000 уязвимых серверов.
So someone dropped CVE-2017-16943 and CVE-2017-16944 over thanksgiving holidays; RCE in Exim Mail server; Shodan.io shows 400,000+ servers with the vuln CHUNKING feature. Patch it before the bad guys start raining shells on your mail servers.
— Philip (@_miw) November 26, 2017
