安全研究
紧急通告
Exim DKIM DNS解码远程堆缓冲区溢出漏洞
发布日期:2012-10-31
CVE ID:CVE-2012-5671
BUGTRAQ ID:56285
受影响的软件及系统:
====================
Exim 4.70
Exim 4.71
Exim 4.72
Exim 4.73
Exim 4.74
Exim 4.75
Exim 4.76
Exim 4.77
Exim 4.80
未受影响的软件及系统:
======================
Exim 4.80.1
综述:
======
Exim 4.70-4.80之间版本的DKIM功能存在一个远程缓冲区溢出漏洞,可能被攻击者利用来造成拒绝服务攻击或远程执行任意代码。
Exim应用比较广泛,很多Linux发行版默认就带有Exim软件。目前Exim已经在4.80.1版本中修复了此漏洞,建议使用Exim的用户及时安装补丁。
分析:
======
Exim是英国剑桥大学开发的一个开源MTA软件(消息传输代理),负责邮件的路由、转发和投递,可用于很多类Unix系统上。
Exim 4.70-4.80版本默认启用了DKIM功能支持,这个功能的一个处理函数dkim_exim_query_dns_txt()在解析DNS TXT记录时存在一个堆缓冲区溢出漏洞。
攻击者可以通过一个有DNS控制权的域发送一封特制邮件给受害Exim服务器,当exim向该域的权威域服务器进行DNS查询时,攻击者发送恶意的DNS响应报文来进行攻击。攻击者可能造成exim拒绝服务或者远程执行任意代码。
解决方法:
==========
* 使用DISABLE_DKIM参数重新编译Exim
* 设置ACL规则,在acl_smtp_connect和acl_smtp_rcpt的ACL规则开头增加下列行:
warn control = dkim_disable_verify
以禁止DKIM验证。
厂商状态:
==========
Exim已经在4.80.1中修复了此漏洞,各大Linux发行商也已经提供了相应安全升级包。
建议Exim用户尽快升级到最新版本。
厂商公告:
https://lists.exim.org/lurker/message/20121026.080330.74b9147b.en.html
下载地址:
ftp://ftp.exim.org/pub/exim/exim4/exim-4.80.1.tar.gz
ftp://ftp.exim.org/pub/exim/exim4/exim-4.80.1.tar.bz2
Debian:
Debian稳定版已经在exim 4.72-6+squeeze3中修复此漏洞,测试版和非稳定版已经
在4.80-5.1中修复。请尽快升级exim4软件包。
http://www.debian.org/security/2012/dsa-2566
Ubuntu:
Ubuntu已经在各个版本中修复了此漏洞,请尽快升级软件包。
http://www.ubuntu.com/usn/usn-1618-1/
附加信息:
==========
1. https://lists.exim.org/lurker/message/20121026.080330.74b9147b.en.html
2. http://www.ubuntu.com/usn/usn-1618-1/
3. http://www.debian.org/security/2012/dsa-2566
4. http://www.nsfocus.net/index.php?act=alert&do=view&aid=129
5. http://www.nsfocus.net/vulndb/21297
声 明
==========
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
============
绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com
© 2024 绿盟科技