SECURITY: Check overrun rcpt_count integer
authorHeiko Schlittermann (HS12-RIPE) <hs@schlittermann.de>
Wed, 25 Nov 2020 21:26:53 +0000 (22:26 +0100)
committerHeiko Schlittermann (HS12-RIPE) <hs@schlittermann.de>
Thu, 27 May 2021 19:30:36 +0000 (21:30 +0200)
Credits: Qualys

    4/ In src/smtp_in.c:

    4966     case RCPT_CMD:
    4967       HAD(SCH_RCPT);
    4968       rcpt_count++;
    ....
    5123       if (rcpt_count > recipients_max && recipients_max > 0)

    In theory this recipients_max check can be bypassed, because the int
    rcpt_count can overflow (become negative). In practice this would either
    consume too much memory or generate too much network traffic, but maybe
    it should be fixed anyway.

(cherry picked from commit 04139ca809fbe56d8fe9c55a77640ea9fa93b8f1)
(cherry picked from commit db96ca55137d7684a9afdf9d118feed9116906b7)

src/src/smtp_in.c

index 93d5cece38525c40dfaaf1d3e32955f1c030c658..b6d530f93482b692a5712884e0328353b0904ed2 100644 (file)
@@ -5036,6 +5036,10 @@ while (done <= 0)
 
     case RCPT_CMD:
       HAD(SCH_RCPT);
 
     case RCPT_CMD:
       HAD(SCH_RCPT);
+      /* We got really to many recipients. A check against configured
+      limits is done later */
+      if (rcpt_count < 0 || rcpt_count >= INT_MAX/2)
+        log_write(0, LOG_MAIN|LOG_PANIC_DIE, "Too many recipients: %d", rcpt_count);
       rcpt_count++;
       was_rcpt = fl.rcpt_in_progress = TRUE;
 
       rcpt_count++;
       was_rcpt = fl.rcpt_in_progress = TRUE;
 
@@ -5192,7 +5196,7 @@ while (done <= 0)
 
       /* Check maximum allowed */
 
 
       /* Check maximum allowed */
 
-      if (rcpt_count > recipients_max && recipients_max > 0)
+      if (rcpt_count+1 < 0 || rcpt_count > recipients_max && recipients_max > 0)
        {
        if (recipients_max_reject)
          {
        {
        if (recipients_max_reject)
          {