Ua hōʻike ka papahana Zero Day Initiative (ZDI) i ka ʻike e pili ana i nā mea palupalu (0-lā) i hoʻopaʻa ʻole ʻia (CVE-2023-42115, CVE-2023-42116, CVE-2023-42117) ma ka kikowaena leka uila Exim, e ʻae iā ʻoe e hoʻokō mamao i kāu. code ma ke kikowaena me ke kaʻina hana pono e ʻae i nā pilina ma ke awa pūnaewele 25. ʻAʻole koi ʻia ka hōʻoia no ka hoʻokō ʻana i ka hoʻouka ʻana.
ʻO ka vulnerability mua (CVE-2023-42115) ke kumu o ka hewa i ka lawelawe smtp a pili pū me ka nele o ka nānā pono ʻana i ka ʻikepili i loaʻa mai ka mea hoʻohana i ka wā SMTP a hoʻohana ʻia e helu i ka nui buffer. Ma muli o ka hopena, hiki i ka mea hoʻouka ke hoʻokō i kahi kākau mana o kāna ʻikepili i kahi wahi hoʻomanaʻo ma waho o ka palena o ka buffer i hāʻawi ʻia.
Aia ka lua o ka vulnerability (CVE-2023-42116) i loko o ka mea noi noi NTLM a ma muli o ke kope ʻana i ka ʻikepili i loaʻa mai ka mea hoʻohana i loko o kahi paʻa paʻa paʻa me ka ʻole o nā loiloi kūpono no ka nui o ka ʻike i kākau ʻia.
ʻO ke kolu o ka nāwaliwali (CVE-2023-42117) aia i loko o ke kaʻina smtp e ʻae ana i nā pilina ma TCP port 25 a ma muli o ka nele o ka hōʻoia hoʻokomo ʻana, hiki ke alakaʻi i ka ʻikepili i hāʻawi ʻia e ka mea hoʻohana i kākau ʻia i kahi wahi hoʻomanaʻo ma waho o ka pahu i hāʻawi ʻia. .
Hōʻailona ʻia nā vulnerabilities he 0-lā, ʻo ia hoʻi. e noho paʻa ʻole, akā ʻōlelo ka ZDI hōʻike ua hoʻolaha mua ʻia nā mea hoʻomohala Exim i nā pilikia ma mua. ʻO ka hoʻololi hope loa i ka codebase Exim ua hana ʻia i ʻelua lā i hala aku nei a ʻaʻole maopopo i ka wā e hoʻoponopono ʻia ai nā pilikia (ʻaʻole i loaʻa i nā mea hana hoʻolaha ka manawa e pane ai mai ka wā i hōʻike ʻia ai ka ʻike me ka ʻole o nā kikoʻī i kekahi mau hola i hala). I kēia manawa, hoʻomākaukau nā mea hoʻomohala Exim e hoʻokuʻu i kahi mana hou 4.97, akā ʻaʻohe ʻike kikoʻī e pili ana i ka manawa o kona hoʻolaha ʻana. ʻO ke ala wale nō o ka pale ʻana i ʻōlelo ʻia i kēia manawa ʻo ke kaohi ʻana i ke komo ʻana i ka lawelawe SMTP hoʻokumu ʻia ʻo Exim.
Ma waho aʻe o nā haʻahaʻa koʻikoʻi i ʻōlelo ʻia ma luna, ua hōʻike ʻia ka ʻike e pili ana i nā pilikia liʻiliʻi liʻiliʻi:
- ʻO CVE-2023-42118 kahi integer overflow i ka waihona libspf2 i ka wā e hoʻopau ai i nā macros SPF. Hiki iā ʻoe ke hoʻomaka i ka palaho mamao o nā mea hoʻomanaʻo a hiki ke hoʻohana ʻia e hoʻonohonoho i ka hoʻokō ʻana i kāu code ma ke kikowaena.
- ʻO CVE-2023-42114 kahi heluhelu i waho o ka buffer ma ka mea hoʻohana NTLM. Hiki i ka pilikia ke hoʻoheheʻe ʻia nā mea hoʻomanaʻo o ke kaʻina hana i nā noi pūnaewele.
- ʻO CVE-2023-42119 kahi mea palupalu i ka mea hoʻohana dnsdb e alakaʻi i kahi leaka hoʻomanaʻo i ke kaʻina smtp.
Source: opennet.ru