Bug di stack overflow su EXIM. O forse no

Bug di stack overflow su EXIM. O forse no

Un bug scoperto recentemente da un gruppo di ricercatori informatici potrebbe mettere a rischio la sicurezza di oltre 400.000 server in tutto il mondo; la descrizione dello stesso non è esattamente alla portata di chiunque, ma ciò non toglie che il rischio possa esserci comunque. Qualsiasi server che faccia uso di Exim, la piattaforma open source per l’invio e la ricezione di email in Unix, adottata quasi universalmente dai vari sistemi, sarebbe infatti messa a rischio da un problema di stack overflow, la casistica ben nota nell’informatica in cui il buffer si riempie più del dovuto durante le operazioni ordinarie di lettura e scrittura.

Exim, che è più precisamente un MTA (Message Trasfer Agent), prende spesso il posto del classico Sendmail nelle configurazioni di sistema più comuni, espone il server – se installato in versioni precedenti alla 4.90.1 – ad una vulnerabilità classificata come CVE-2018-6789, la quale permette mediante l’invio di un input modificato ad arte di eseguire codice in remoto da parte di utenze non autorizzate. Il problema risiede nella funzione di decodifica del formato base64, che non si accorge del problema e per input creati appositamente per fare danni, può risultare in un problema di buffer overflow. Se la dimensione ed il formato dell’input di attacco sono adeguati, è quindi possibile eseguire dall’esterno frammenti di codice qualsiasi senza alcuna autenticazione o autorizzazione.

Gli sviluppatori di Exim, pur avendo rilasciato un aggiornamento, mostrano qualche dubbio sull’effettivo rischio legato al problema, e sostengono che il rischio sia relativamente contenuto, e – se non altro – non sfruttabile troppo facilmente, constatando come in situazioni del genere sia sostanzialmente impossibile mitigare l’effetto della potenziale falla (Currently, we’re unsure about the severity” of the vulnerability. “We *believe* an exploit is difficult. A mitigation isn’t known.). In questi casi, di solito, si tende a spostare il livello di sicurezza del server su un altro piano, ad esempio impedendo a monte l’invio di input modificati, oppure bloccando determinati contenuti non autentificati via firewall.

Secondo Devcore Security Consulting, che ha scoperto e segnalato il problema, circa 400.000 server mondiali sarebbero esposti al problema; peraltro molti server collegati all’Internet delle Cose (IoT) sembrerebbero affiancare i normali server che utilizziamo per siti e servizi web, amplificando così l’ordine di grandezza del problema. Ad ogni modo, ad oggi, il meglio che si possa fare è quello di installare Exim in versioni aggiornate dalla 4.90.1 in poi, pubblicata il 10 febbraio di quest’anno.

Web Hosting
Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.