Merge branch 'exim-4.96+security'

author Jeremy Harris <jgh146exb@wizmail.org>

Mon, 2 Oct 2023 12:24:29 +0000 (13:24 +0100)

committer Jeremy Harris <jgh146exb@wizmail.org>

Mon, 2 Oct 2023 13:27:18 +0000 (14:27 +0100)
author Jeremy Harris <jgh146exb@wizmail.org>
Mon, 2 Oct 2023 12:24:29 +0000 (13:24 +0100)
committer Jeremy Harris <jgh146exb@wizmail.org>
Mon, 2 Oct 2023 13:27:18 +0000 (14:27 +0100)
diff --git a/doc/doc-txt/ChangeLog b/doc/doc-txt/ChangeLog

index efa79de229f33352b48d7bbe843500aabf3da269..a78ec386fc59047195869947c4a0d62d022a0bac 100644 (file)
--- a/doc/doc-txt/ChangeLog
+++ b/doc/doc-txt/ChangeLog
@@ -193,6 +193,18 @@ JH/38 Taint-track intermediate values from the peer in multi-stage authentation
  JH/39 Bug 3023: Fix crash induced by some combinations of zero-length strings
        and ${tr...}.  Found and diagnosed by Heiko Schlichting.
  
+JH/40 Bug 2999: Fix a possible OOB write in the external authenticator, which
+      could be triggered by externally-supplied input.  Found by Trend Micro.
+      CVE-2023-42115
+
+JH/41 Bug 3000: Fix a possible OOB write in the SPA authenticator, which could
+      be triggered by externally-controlled input.  Found by Trend Micro.
+      CVE-2023-42116
+
+JH/42 Bug 3001: Fix a possible OOB read in the SPA authenticator, which could
+      be triggered by externally-controlled input.  Found by Trend Micro.
+      CVE-2023-42114
+
  
  Exim version 4.96
  -----------------
diff --git a/src/src/auths/auth-spa.c b/src/src/auths/auth-spa.c

index bcf88c84d0eafe84f5395bb496ec791b5b8904bf..8e3146b356de153f18c7cd09725cc3014a6c0e99 100644 (file)
--- a/src/src/auths/auth-spa.c
+++ b/src/src/auths/auth-spa.c
@@ -156,6 +156,9 @@ int main (int argc, char ** argv)
     up with a different answer to the one above)
  */
  
+#ifndef MACRO_PREDEF
+
+
  #define DEBUG_X(a,b) ;
  
  extern int DEBUGLEVEL;
@@ -1212,7 +1215,9 @@ char versionString[] = "libntlm version 0.21";
  
  #define spa_bytes_add(ptr, header, buf, count) \
  { \
-if (buf && (count) != 0) /* we hate -Wint-in-bool-contex */ \
+if (  buf && (count) != 0      /* we hate -Wint-in-bool-contex */ \
+   && ptr->bufIndex + count < sizeof(ptr->buffer)              \
+   ) \
    { \
    SSVAL(&ptr->header.len,0,count); \
    SSVAL(&ptr->header.maxlen,0,count); \
@@ -1230,35 +1235,30 @@ else \
  
  #define spa_string_add(ptr, header, string) \
  { \
-char *p = string; \
+uschar * p = string; \
  int len = 0; \
-if (p) len = strlen(p); \
-spa_bytes_add(ptr, header, (US p), len); \
+if (p) len = Ustrlen(p); \
+spa_bytes_add(ptr, header, p, len); \
  }
  
  #define spa_unicode_add_string(ptr, header, string) \
  { \
-char *p = string; \
-uschar *b = NULL; \
+uschar * p = string; \
+uschar * b = NULL; \
  int len = 0; \
  if (p) \
    { \
-  len = strlen(p); \
-  b = strToUnicode(p); \
+  len = Ustrlen(p); \
+  b = US strToUnicode(CS p); \
    } \
  spa_bytes_add(ptr, header, b, len*2); \
  }
  
  
-#define GetUnicodeString(structPtr, header) \
-unicodeToString(((char*)structPtr) + IVAL(&structPtr->header.offset,0) , SVAL(&structPtr->header.len,0)/2)
-#define GetString(structPtr, header) \
-toString(((CS structPtr) + IVAL(&structPtr->header.offset,0)), SVAL(&structPtr->header.len,0))
-
  #ifdef notdef
  
  #define DumpBuffer(fp, structPtr, header) \
-dumpRaw(fp,(US structPtr)+IVAL(&structPtr->header.offset,0),SVAL(&structPtr->header.len,0))
+ dumpRaw(fp,(US structPtr)+IVAL(&structPtr->header.offset,0),SVAL(&structPtr->header.len,0))
  
  
  static void
@@ -1322,8 +1322,33 @@ buf[len] = 0;
  return buf;
  }
  
+static inline uschar *
+get_challenge_unistr(SPAAuthChallenge * challenge, SPAStrHeader * hdr)
+{
+int off = IVAL(&hdr->offset, 0);
+int len = SVAL(&hdr->len, 0);
+return off + len < sizeof(SPAAuthChallenge)
+  ? US unicodeToString(CS challenge + off, len/2) : US"";
+}
+
+static inline uschar *
+get_challenge_str(SPAAuthChallenge * challenge, SPAStrHeader * hdr)
+{
+int off = IVAL(&hdr->offset, 0);
+int len = SVAL(&hdr->len, 0);
+return off + len < sizeof(SPAAuthChallenge)
+  ? US toString(CS challenge + off, len) : US"";
+}
+
  #ifdef notdef
  
+#define GetUnicodeString(structPtr, header) \
+ unicodeToString(((char*)structPtr) + IVAL(&structPtr->header.offset,0) , SVAL(&structPtr->header.len,0)/2)
+
+#define GetString(structPtr, header) \
+ toString(((CS structPtr) + IVAL(&structPtr->header.offset,0)), SVAL(&structPtr->header.len,0))
+
+
  void
  dumpSmbNtlmAuthRequest (FILE * fp, SPAAuthRequest * request)
  {
@@ -1367,15 +1392,15 @@ fprintf (fp, "      Flags = %08x\n", IVAL (&response->flags, 0));
  #endif
  
  void
-spa_build_auth_request (SPAAuthRequest * request, char *user, char *domain)
+spa_build_auth_request (SPAAuthRequest * request, uschar * user, uschar * domain)
  {
-char *u = strdup (user);
-char *p = strchr (u, '@');
+uschar * u = string_copy(user);
+uschar * p = Ustrchr(u, '@');
  
  if (p)
    {
    if (!domain)
-   domain = p + 1;
+    domain = p + 1;
    *p = '\0';
    }
  
@@ -1385,7 +1410,6 @@ SIVAL (&request->msgType, 0, 1);
  SIVAL (&request->flags, 0, 0x0000b207);      /* have to figure out what these mean */
  spa_string_add (request, user, u);
  spa_string_add (request, domain, domain);
-free (u);
  }
  
  
@@ -1476,16 +1500,16 @@ free (u);
  
  void
  spa_build_auth_response (SPAAuthChallenge * challenge,
-                        SPAAuthResponse * response, char *user,
-                        char *password)
+                        SPAAuthResponse * response, uschar * user,
+                        uschar * password)
  {
  uint8x lmRespData[24];
  uint8x ntRespData[24];
  uint32x cf = IVAL(&challenge->flags, 0);
-char *u = strdup (user);
-char *p = strchr (u, '@');
-char *d = NULL;
-char *domain;
+uschar * u = string_copy(user);
+uschar * p = Ustrchr(u, '@');
+uschar * d = NULL;
+uschar * domain;
  
  if (p)
    {
@@ -1493,33 +1517,33 @@ if (p)
    *p = '\0';
    }
  
-else domain = d = strdup((cf & 0x1)?
-  CCS GetUnicodeString(challenge, uDomain) :
-  CCS GetString(challenge, uDomain));
+else domain = d = string_copy(cf & 0x1
+  ? CUS get_challenge_unistr(challenge, &challenge->uDomain)
+  : CUS get_challenge_str(challenge, &challenge->uDomain));
  
-spa_smb_encrypt (US password, challenge->challengeData, lmRespData);
-spa_smb_nt_encrypt (US password, challenge->challengeData, ntRespData);
+spa_smb_encrypt(password, challenge->challengeData, lmRespData);
+spa_smb_nt_encrypt(password, challenge->challengeData, ntRespData);
  
  response->bufIndex = 0;
  memcpy (response->ident, "NTLMSSP\0\0\0", 8);
  SIVAL (&response->msgType, 0, 3);
  
-spa_bytes_add (response, lmResponse, lmRespData, (cf & 0x200) ? 24 : 0);
-spa_bytes_add (response, ntResponse, ntRespData, (cf & 0x8000) ? 24 : 0);
+spa_bytes_add(response, lmResponse, lmRespData, cf & 0x200 ? 24 : 0);
+spa_bytes_add(response, ntResponse, ntRespData, cf & 0x8000 ? 24 : 0);
  
  if (cf & 0x1) {      /* Unicode Text */
-     spa_unicode_add_string (response, uDomain, domain);
-     spa_unicode_add_string (response, uUser, u);
-     spa_unicode_add_string (response, uWks, u);
+     spa_unicode_add_string(response, uDomain, domain);
+     spa_unicode_add_string(response, uUser, u);
+     spa_unicode_add_string(response, uWks, u);
  } else {             /* OEM Text */
-     spa_string_add (response, uDomain, domain);
-     spa_string_add (response, uUser, u);
-     spa_string_add (response, uWks, u);
+     spa_string_add(response, uDomain, domain);
+     spa_string_add(response, uUser, u);
+     spa_string_add(response, uWks, u);
  }
  
-spa_string_add (response, sessionKey, NULL);
+spa_string_add(response, sessionKey, NULL);
  response->flags = challenge->flags;
-
-if (d != NULL) free (d);
-free (u);
  }
+
+
+#endif   /*!MACRO_PREDEF*/
diff --git a/src/src/auths/auth-spa.h b/src/src/auths/auth-spa.h

index db93891ab2a5c3e9e2094caa999b8d098bdd5185..64874ca667a4a8aedce75bbcfe8461445d46ee3c 100644 (file)
--- a/src/src/auths/auth-spa.h
+++ b/src/src/auths/auth-spa.h
@@ -80,10 +80,10 @@ typedef struct
  
  void spa_bits_to_base64 (unsigned char *, const unsigned char *, int);
  int spa_base64_to_bits(char *, int, const char *);
-void spa_build_auth_response (SPAAuthChallenge *challenge,
-       SPAAuthResponse *response, char *user, char *password);
-void spa_build_auth_request (SPAAuthRequest *request, char *user,
-       char *domain);
+void spa_build_auth_response (SPAAuthChallenge * challenge,
+       SPAAuthResponse * response, uschar * user, uschar * password);
+void spa_build_auth_request (SPAAuthRequest * request, uschar * user,
+       uschar * domain);
  extern void spa_smb_encrypt (unsigned char * passwd, unsigned char * c8,
                               unsigned char * p24);
  extern void spa_smb_nt_encrypt (unsigned char * passwd, unsigned char * c8,
diff --git a/src/src/auths/external.c b/src/src/auths/external.c

index 078aad0faa9be77d09dca6bc283808f63f0f2247..f6aa527f2e5f4270feedc9788a2032d359d1778f 100644 (file)
--- a/src/src/auths/external.c
+++ b/src/src/auths/external.c
@@ -104,7 +104,7 @@ if (expand_nmax == 0)       /* skip if rxd data */
  if (ob->server_param2)
    {
    uschar * s = expand_string(ob->server_param2);
-  auth_vars[expand_nmax] = s;
+  auth_vars[expand_nmax = 1] = s;
    expand_nstring[++expand_nmax] = s;
    expand_nlength[expand_nmax] = Ustrlen(s);
    if (ob->server_param3)
diff --git a/src/src/auths/spa.c b/src/src/auths/spa.c

index 222ccea86fc6741fdf07027082ac1309fda75e6e..3cea845b80ff9f1ff1870e7650a1939c8d50f9cd 100644 (file)
--- a/src/src/auths/spa.c
+++ b/src/src/auths/spa.c
@@ -285,14 +285,13 @@ SPAAuthRequest   request;
  SPAAuthChallenge challenge;
  SPAAuthResponse  response;
  char msgbuf[2048];
-char *domain = NULL;
-char *username, *password;
+uschar * domain = NULL, * username, * password;
  
  /* Code added by PH to expand the options */
  
  *buffer = 0;    /* Default no message when cancelled */
  
-if (!(username = CS expand_string(ob->spa_username)))
+if (!(username = expand_string(ob->spa_username)))
    {
    if (f.expand_string_forcedfail) return CANCELLED;
    string_format(buffer, buffsize, "expansion of \"%s\" failed in %s "
@@ -301,7 +300,7 @@ if (!(username = CS expand_string(ob->spa_username)))
    return ERROR;
    }
  
-if (!(password = CS expand_string(ob->spa_password)))
+if (!(password = expand_string(ob->spa_password)))
    {
    if (f.expand_string_forcedfail) return CANCELLED;
    string_format(buffer, buffsize, "expansion of \"%s\" failed in %s "
@@ -311,7 +310,7 @@ if (!(password = CS expand_string(ob->spa_password)))
    }
  
  if (ob->spa_domain)
-  if (!(domain = CS expand_string(ob->spa_domain)))
+  if (!(domain = expand_string(ob->spa_domain)))
      {
      if (f.expand_string_forcedfail) return CANCELLED;
      string_format(buffer, buffsize, "expansion of \"%s\" failed in %s "
@@ -331,7 +330,7 @@ if (!smtp_read_response(sx, US buffer, buffsize, '3', timeout))
  
  DSPA("\n\n%s authenticator: using domain %s\n\n", ablock->name, domain);
  
-spa_build_auth_request(&request, CS username, domain);
+spa_build_auth_request(&request, username, domain);
  spa_bits_to_base64(US msgbuf, US &request, spa_request_length(&request));
  
  DSPA("\n\n%s authenticator: sending request (%s)\n\n", ablock->name, msgbuf);
@@ -348,7 +347,7 @@ if (!smtp_read_response(sx, US buffer, buffsize, '3', timeout))
  DSPA("\n\n%s authenticator: challenge (%s)\n\n", ablock->name, buffer + 4);
  spa_base64_to_bits(CS (&challenge), sizeof(challenge), CCS (buffer + 4));
  
-spa_build_auth_response(&challenge, &response, CS username, CS password);
+spa_build_auth_response(&challenge, &response, username, password);
  spa_bits_to_base64(US msgbuf, US &response, spa_request_length(&response));
  DSPA("\n\n%s authenticator: challenge response (%s)\n\n", ablock->name, msgbuf);
author	Jeremy Harris <jgh146exb@wizmail.org>
	Mon, 2 Oct 2023 12:24:29 +0000 (13:24 +0100)
committer	Jeremy Harris <jgh146exb@wizmail.org>
	Mon, 2 Oct 2023 13:27:18 +0000 (14:27 +0100)
doc/doc-txt/ChangeLog		patch \| blob \| history
src/src/auths/auth-spa.c		patch \| blob \| history
src/src/auths/auth-spa.h		patch \| blob \| history
src/src/auths/external.c		patch \| blob \| history
src/src/auths/spa.c		patch \| blob \| history