Eximの string_vformat() 関数におけるバッファオーバーフローの脆弱性（Scan Tech Report）

1．概要
Exim に、電子メールメッセージのロギング処理に起因して string_vformat() 関数でバッファオーバーフローを引き起こしてしまう脆弱性が報告されました。
リモートの第三者に利用された場合、システム上で不正な操作を実行される可
能性があります。

既にこの脆弱性が悪用されたとの報告もあり、Linux ディストリビューションによっては既定で動作している環境もありますので、対象のユーザは以下の対策を実施することを推奨します。

2．深刻度(CVSS)
9.3
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2010-4344&vector=%28AV%3AN/AC%3AM/Au%3AN/C%3AC/I%3AC/A%3AC%29

3．影響を受けるソフトウェア
Exim 4.69 以前

※影響を受けるバージョンの Exim が含まれる、Linux ディストリビューションにおいても、この脆弱性の影響を受ける可能性があります。

4．解説
メール転送エージェント (Mail Transfer Agent: MTA) である Exim には、REJECT ヘッダを含む電子メールメッセージのロギング処理に不備が存在します。
このため、メールヘッダまたは本文に過度に長い文字列が指定された不正な電子メールメッセージを処理した場合に、log_write() 関数 (src/string.c) を介して当該電子メールメッセージのヘッダ情報をログファイルに書き込んでしまうため、string_vformat() 関数でバッファオーバーフローが発生する脆弱性 (CVE-2010-4344) が存在します。

この脆弱性を利用することでリモートの攻撃者は、Exim を実行するユーザの権限で任意のコマンドが実行可能となります。

また、この脆弱性とは別に Exim には、ALT_CONFIG_ROOT_ONLY オプションを設定せずにビルドした環境における設定ファイルの処理に起因して権限昇格が可能な脆弱性 (CVE-2010-4345) が存在します。
2 つの脆弱性 (CVE-2010-4344/CVE-2010-4345) を組み合わせることで、攻撃者は、root 権限で任意のコマンドが実行可能となります。

Debian 環境においては Exim は、デフォルトのメールサーバパッケージ (Exim4) であり、システムで動作している可能性が高いため、Exim4 のアップデートを早急に実施する必要があることが debian.org より注意喚起として出されています。詳細につきましては、以下の Web サイトを参照して下さい。

Exim への攻撃観測とセキュリティ更新についての注意喚起
http://www.debian.or.jp/blog/exim4-security-update.html

5．対策
（Web非公開）

6．関連情報
（Web非公開）

7．エクスプロイト
（Web非公開）

8．想定される攻撃シナリオ
（Web非公開）

9．エクスプロイトの動作概要および結果は次のようになります。
（Web非公開）

（執筆：株式会社ラック　サイバーリスク総合研究所　コンピュータセキュリティ研究所）

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録（有料）下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html