Die Zero Day Initiative (ZDI)-projek het inligting oor onverwerkte (0-dag) kwesbaarhede (CVE-2023-42115, CVE-2023-42116, CVE-2023-42117) in die Exim-posbediener bekend gemaak, wat jou in staat stel om jou op afstand uit te voer kode op die bediener met die regte proses wat verbindings op netwerkpoort 25 aanvaar. Geen stawing word vereis om die aanval uit te voer nie.
Die eerste kwesbaarheid (CVE-2023-42115) word veroorsaak deur 'n fout in die smtp-diens en word geassosieer met die gebrek aan behoorlike kontrole van die data wat tydens die SMTP-sessie van die gebruiker ontvang is en wat gebruik word om die buffergrootte te bereken. As gevolg hiervan kan die aanvaller 'n beheerde skryf van sy data na 'n geheuearea buite die grens van die toegewese buffer bewerkstellig.
Die tweede kwesbaarheid (CVE-2023-42116) is teenwoordig in die NTLM-versoekhanteerder en word veroorsaak deur die kopiΓ«ring van data wat van die gebruiker ontvang is na 'n vaste-grootte buffer sonder die nodige kontrole vir die grootte van die inligting wat geskryf word.
Die derde kwesbaarheid (CVE-2023-42117) is teenwoordig in die smtp-proses wat verbindings op TCP-poort 25 aanvaar en word veroorsaak deur 'n gebrek aan insetvalidering, wat daartoe kan lei dat gebruikerverskafde data na 'n geheuearea buite die toegewese buffer geskryf word .
Kwesbaarhede word gemerk as 0-dag, d.w.s. bly onreggestel, maar die ZDI-verslag meld dat die Exim-ontwikkelaars vooraf van die probleme in kennis gestel is. Die laaste verandering aan die Exim-kodebasis is twee dae gelede gemaak en dit is nog nie duidelik wanneer die probleme reggestel sal word nie (verspreidingvervaardigers het nog nie tyd gehad om te reageer sedert die inligting etlike ure gelede sonder besonderhede bekend gemaak is nie). Tans berei Exim-ontwikkelaars voor om 'n nuwe weergawe 4.97 vry te stel, maar daar is nog geen presiese inligting oor die tyd van sy publikasie nie. Die enigste metode van beskerming wat tans genoem word, is om toegang tot die Exim-gebaseerde SMTP-diens te beperk.
Benewens die bogenoemde kritieke kwesbaarhede, is inligting ook oor verskeie minder gevaarlike probleme bekend gemaak:
- CVE-2023-42118 is 'n heelgetal-oorloop in die libspf2-biblioteek wanneer SPF-makro's ontleed word. Die kwesbaarheid laat jou toe om afstandskorrupsie van geheue-inhoud te begin en kan moontlik gebruik word om die uitvoering van jou kode op die bediener te organiseer.
- CVE-2023-42114 is 'n buite-buffer-lees in die NTLM-hanteerder. Die probleem kan daartoe lei dat die geheue-inhoud van die proses wat netwerkversoeke bedien, lek.
- CVE-2023-42119 is 'n kwesbaarheid in die dnsdb-hanteerder wat lei tot 'n geheuelek in die smtp-proses.
Bron: opennet.ru