Exim, een van de meest gebruikte Unix Mail Transfer Agents ter wereld, is ten prooi gevallen aan een potentieel desastreuze vulnerability waardoor de headers misbruikt kunnen worden voor remote code executions. De oorzaak? Een use after free vulnerability.

Use After Free (of UAF) vulnerabilities komen voor wanneer een programma een memory pointer blijft gebruiken nadat deze is vrijgegeven. Hierdoor kan andere code communiceren met het programma door gebruik te maken van hetzelfde geheugen. Helaas voor Exim is dit geen functionaliteit die misbruikt kan worden, maar gewoon een slordige fout die in de code is blijven staan.

CVE-2017-16943
De vulnerability werd in november aan het licht gebracht door een security researcher, wie het op was gevallen dat Exim BDAT-commando’s verkeerd afhandelt en daardoor de deur op een kier laat voor misbruik. Deze BDAT-commando’s worden door Exim gebruikt in hun zogenaamde ‘chunking’-functionaliteit, een proces waarbij de software e-mails in stukken opbreekt en verwerkt. De vulnerability doet zich voor in het ontvang-proces. De software maakt een buffer aan voor de header. Wanneer de header te groot blijkt voor de buffer, vergroot deze automatisch naar het formaat van de header. Bij het verwerken van deze informatie hakt Exim deze memory-buffer in stukjes, maar de code blijft daarna verwijzen naar het memory blok van de volledige header.

Een hacker kan misbruik maken van deze vulnerability door het proces af te leiden met een niet-bestaand commando, waardoor het vast komt te hangen in het afhandelen van de in blokken opgedeelde header. De hacker kan zichzelf vervolgens toegang verschaffen tot de server door middel van het niet goed vrijgegeven memory blok, en kan malafide code laten uitvoeren terwijl het Exim-proces afgeleid is.

Wat kunt u doen?
EXIM is op de hoogte van het probleem en heeft een patch uitgebracht die in versie 4.90 is opgenomen. Een alternatief is om de volgende regel code toe te voegen:

chunking_advertise_hosts =

Deze regel code, waarin geen waarde wordt toegekend  , zet het adverteren van de chunking functionaliteit uit, waardoor bij inkomende mail geen gebruik meer gemaakt kan worden deze functionaliteit en, effectief gezien, de exploit niet meer misbruikt kan worden.

Qualys Vulnerability Management
Als u niet voor dergelijke verrassingen wilt komen te staan, kunt u er voor kiezen om uw servers en bijbehorende software te monitoren met de producten van Qualys. De Vulnerability Management module houdt u op de hoogte van de laatste kwetsbaarheden. Als u meer informatie wilt over de producten van Qualys kunt u altijd even contact met ons opnemen.

Lees relevante artikelen

Categorie  Vulnerability of the Month | Tags  exim Qualys vulnerability