نقص جدید و بحرانی در Exim، سرورهای ایمیل را در معرض حملات از راه دور قرار میدهد

یک آسیب پذیری امنیتی مهم در نرم افزار سرور پست الکترونیکی و منبع آزاد Exim کشف و رفع شده است که میتواند به یک مهاجم از راه دور اجازه دهد تا به سادگی به آن را از کار بیاندازد یا بر روی سرورهای هدف، کد مخرب اجرا کند.
پس از انتشار اخطار اولیه در دو روز پیش، مسئولین نگهداری Exim امروز به روزرسانی امنیتی اضطراری را منتشر کردند (Exim نسخه ۴.۹۲.۳) و از پیش در مورد وصلههای امنیتی به مدیران سیستم اطلاع دادند که بر روی تمام نسخههای نرمافزار سرور ایمیل از نسخه ۴.۹۲ به بعد شامل آخرین نسخه ۴.۹۲.۲ موثراند.
اگزیم یک عامل (Agent) انتقال ایمیل منبع باز (MTA) است که به طور گسترده برای سیستم عاملهای یونیکس مانند، مثل لینوکس، مک OSX یا سولاریس ساخته شده است که تقریباً در ۶۰ درصد از سرورهای ایمیل اینترنت برای مسیریابی، ارسال و دریافت پیامهای پست الکترونیکی اجرا میشود.
این دومین بار در ماه جاری است که مسئولین اگزیم یک بروزرسانی امنیتی فوری منتشر کردهاند. در اوایل ماه جاری، این تیم نقص مهم اجرای کد از راه دور (CVE-2019-15846) را در این نرم افزار وصله کرد که میتوانست امکان دسترسی root-level به سیستم را به مهاجمین از راه دور بدهد.
این آسیب پذیری به عنوان CVE-2019-16928 شناخته شده و توسط جرمی هریس از تیم توسعه Exim کشف شده است، این آسیب پذیری یک مسئله سرریز بافر مبتنی بر پشته (memory corruption) در string_vformat تعریف شده در فایل string.c از اجزای EHLO Command Handler است.
این نقص امنیتی می تواند به مهاجمین از راه دور اجازه دهد تا شرایط حمله denial of service (DoS) را ایجاد کنند یا کد دلخواه را روی سرور پست الکترونیکی Exim مورد هدف با استفاده از یک خط دستکاری شده خاص در دستور EHLO با دسترسی کاربر هدف اجرا کنند.
طبق توصیه Exim، اکسپلویت PoC از این آسیب پذیری اجازه می دهد تا تنها با ارسال یک رشته طولانی در دستور EHLO، جریان عمل Exim دچار اختلال شود، اگرچه از دستورات دیگر نیز میتوان برای اجرای کد دلخواه استفاده کرد.
تیم توسعه Exim اظهار داشت: « آسیبپذیری که در حال حاضر شناخته شده است، از یک سری رشتههای EHLO بسیار بلند برای خراب کردن فرآیند Exim که در حال دریافت پیام است استفاده می کند. »
« در حالی که در این روش کار، Exim قبلاً دسترسیها را drop کرده است، ممکن است مسیرهای دیگری برای دستیابی به کد آسیب پذیر وجود داشته باشد. »
در اواسط سال، Exim همچنین آسیب پذیری شدید اجرای فرمان از راه دور (CVE-2019-10149) در نرمافزار نامه الکترونیکی خود وصله کرد که توسط گروههای مختلف هکرها به طور گسترده برای به خطر انداختن سرورهای آسیبپذیر مورد سوء استفاده قرار میگرفت.
بنابراین، به سرورها شدیدا توصیه میشود که جدیدترین نسخه Exim 4.92.3 را در اسرع وقت نصب کنند، زیرا هیچ روش مشخصی برای رفع موقت این مسئله وجود ندارد.
این تیم همچنین میگوید: « اگر نمیتوانید نسخههای فوق را نصب کنید، از package maintainer خود بخواهید نسخهای را که حاوی backported fix است، در اختیار شما قرار دهند. در صورت درخواست و متناسب با منابعمان، در فرایند backported fix از شما پشتیبانی خواهیم کرد. »
بروزرسانی امنیتی برای توزیعهای لینوکس از جمله Ubuntu، Arch Linux، FreeBSD، Debian و Fedora در دسترس است.
نظرات کاربران