Центр противодействия угрозам в Интернет уведомил (https://isc.sans.edu/diary/Dovecot++Exim+Exploit+Detects/16243) пользователей о всплеске атак, направленных на поражение систем, использующих уязвимую конфигурацию связки Exim и Dovecot. Несмотря на то, что информация об уязвимости была опубликована (http://www.opennet.me/opennews/art.shtml?num=36859) в начале мая, спустя три месяца в Сети остаётся достаточное количество уязвимых серверов, представляющих интерес для проведения атак по внедрению бэкдора. После успешной атаки на сервер устанавливается небольшой perl-скрипт /tmp/p.pl, выполняющий функции простого IRC-сервера и обрабатывающий некоторые управляющие команды.

Поражение производится через рассылку писем, эксплуатирующих уязвимость через указание специально оформленного заголовка Return-Path, при обработке которого Exim при обращении к агенту доставки запускает утилиту wget, загружает скрипт и выполняет его. Проблема проявляется в системах, в которых в конфигурации Exim указана опция "use_shell" в блоке подключения Dovecot. При использовании опции "use_shell" агент доставки запускается с использованием shell и передачей параметров в командной строке. Метод эксплуатации достаточно прост и сводится к манипуляции с экранированием спецсимволов, позволяя в итоге добиться выполнения shell-команд.

URL: https://isc.sans.edu/diary/Dovecot++Exim+Exploit+Detects/16243
Новость: http://www.opennet.me/opennews/art.shtml?num=37539

• В Сети зафиксированы факты активной эксплуатации уязвимой ко...,YetAnotherOnanym, 23:32 , 29-Июл-13
• В Сети зафиксированы факты активной эксплуатации уязвимой ко...,Аноним, 00:52 , 30-Июл-13
  • В Сети зафиксированы факты активной эксплуатации уязвимой ко...,all_glory_to_the_hypnotoad, 01:20 , 30-Июл-13
    • В Сети зафиксированы факты активной эксплуатации уязвимой ко...,Вонни, 01:24 , 30-Июл-13
      • В Сети зафиксированы факты активной эксплуатации уязвимой ко...,all_glory_to_the_hypnotoad, 01:14 , 31-Июл-13
        • В Сети зафиксированы факты активной эксплуатации уязвимой ко...,DeadLoco, 12:32 , 01-Авг-13
    • В Сети зафиксированы факты активной эксплуатации уязвимой ко...,raven_kg, 07:42 , 30-Июл-13
      • В Сети зафиксированы факты активной эксплуатации уязвимой ко...,all_glory_to_the_hypnotoad, 01:17 , 31-Июл-13
  • В Сети зафиксированы факты активной эксплуатации уязвимой ко...,anonymous, 13:01 , 30-Июл-13
  • В Сети зафиксированы факты активной эксплуатации уязвимой ко...,DeadLoco, 13:49 , 02-Авг-13
• В Сети зафиксированы факты активной эксплуатации уязвимой ко...,Аноним, 01:09 , 30-Июл-13
  • В Сети зафиксированы факты активной эксплуатации уязвимой ко...,all_glory_to_the_hypnotoad, 01:21 , 30-Июл-13
    • В Сети зафиксированы факты активной эксплуатации уязвимой ко...,Аноним, 02:23 , 30-Июл-13
      • В Сети зафиксированы факты активной эксплуатации уязвимой ко...,Вонни, 02:30 , 30-Июл-13
      • В Сети зафиксированы факты активной эксплуатации уязвимой ко...,all_glory_to_the_hypnotoad, 01:19 , 31-Июл-13
• В Сети зафиксированы факты активной эксплуатации уязвимой ко...,ILYA INDIGO, 03:55 , 30-Июл-13
• В Сети зафиксированы факты активной эксплуатации уязвимой ко...,robux, 09:27 , 30-Июл-13
  • В Сети зафиксированы факты активной эксплуатации уязвимой ко...,Игорь, 09:29 , 31-Июл-13
    • В Сети зафиксированы факты активной эксплуатации уязвимой ко...,robux, 10:51 , 31-Июл-13
• В Сети зафиксированы факты активной эксплуатации уязвимой ко...,Аноним, 17:10 , 30-Июл-13
• В Сети зафиксированы факты активной эксплуатации уязвимой ко...,Аноним, 09:48 , 31-Июл-13
  • В Сети зафиксированы факты активной эксплуатации уязвимой ко...,DeadLoco, 15:42 , 01-Авг-13

Вроде чисто. Но как это я ту новость от 4 мая упустил?

сколько себя помню, всегда ставили в пример связку эксим+довекот, а оказывается вон какая бага то...

кто ставил? дайте этим балбесам по морде. Не из-за баги выше, конечно, просто экзим гогно в совокупности подобных косяков.

Автор вики мудаг что юзает eval в заголовке письма

проблема что ему позволили быть мудаком, причём совершенно без каких-либо лишних телодвижений. Это фейл экзима, ибо он почти везде (считай, архитектурно) имеет подобные подьёбки.

Особо одаренные ухитряются порезаться  даже листом бумаги. Даааа, бумага фейл, архитектурный косяк...

Руки надо прямые иметь, а не юзать щель-скрипты хрен пойми через какую задницу прикрученые!
Ну вот я юзаю exim - то есть я по твоей логике автоматически становлюсь балбесом юзающим  "гогно". Рискнешь дать по морде?!

если ты ламо и советуешь из-за своей неграмотности другим юзать экзим, то да, становишься.

> Рискнешь дать по морде?!

думаешь, в этом мероприятии есть риск?

fixed
"сколько себя помню, всегда ставили в пример связку эксим+довекот, а оказывается вон какая бугага то..."

> сколько себя помню, всегда ставили в пример связку эксим+довекот, а оказывается вон
> какая бага то...

Да не бага это никакая - попуститесь.
Открываете раздел 29.5 спеков экзима и читаете:

use_shell     Use: pipe     Type: boolean     Default: false

If this option is set, it causes the command to be passed to /bin/sh instead of being run directly from the transport, as described in section 29.3. This is less secure, but is needed in some situations where the command is expected to be run under a shell and cannot easily be modified.

Никто никого не заставляет юзать небезопасный механизм - он создан для совсем уж критических случаев, когда некуда деваться. В норме он использоваться не должен - и не используется.

> При использовании опции "use_shell" агент доставки запускается с использованием shell и передачей параметров в командной строке.

Очевидная бага, удивительно что её не заметили при тестировании.

интересно, как? нужно же знать заранее как именно формировать адрес. В этом то и всё блядство шелла.

Да какая разница «как»? Очевидно же что интерпретируемые значения нужно экранировать.

  command = /usr/lib/dovecot/deliver -e -k -s \
      -f "$sender_address" -a "$original_local_part@$original_domain"
  use_shell

непонятно как можно так ошибиться...

lua использовать нужно было

очевидно, что в таком сервисе не должно быть интерпретируемых значений через шел. А ошибиться можно даже и в случае экранирования "", шел много каких гадостей может принести при определённых условиях.

postfix+dovecot полёт нормальный.

Специально проверял свои конфиги (экзим+довекот) в мае - опция "shell" у меня везде отключена 8-)

А как проверить отключена опция или нет?

> А как проверить отключена опция или нет?

Строка "use_shell" не должна фигурировать в exim4.conf.

Показан переход на Zimbra.

Нету у меня
use_shell
в exim.conf

Но баги периодически вылезают.

> Но баги периодически вылезают.

Какого рода баги?
У меня в среднем через один экзим прокачивается 10-20к писем в сутки, все работает, как часики, никаких проблем от слова "вообще". Может я что-то делаю не так?