ProHoster > Blog > nouvèl sou entènèt > Frajilite kritik yo te dekouvri nan Exim ki pèmèt kòd abitrè yo dwe egzekite sou sèvè a.

Frajilite kritik yo te dekouvri nan Exim ki pèmèt kòd abitrè yo dwe egzekite sou sèvè a.

ZDI (Zero Day Initiative) pibliye enfòmasyon sou twa vilnerabilite kritik yo te jwenn nan sèvè lapòs Exim ki pèmèt kòd abitrè yo dwe egzekite sou non pwosesis sèvè ki louvri pò 25 la. Pou pote soti nan yon atak, otantifikasyon sou sèvè a pa obligatwa.

  1. CVE-2023-42115 — pèmèt ou ekri done ou pi lwen pase limit tanpon atribye ba yo. Sa te koze pa yon erè validation done antre nan sèvis SMTP la.

  2. CVE-2023-42116 – koze pa kopye done ki soti nan itilizatè a nan yon tanpon gwosè fiks san yo pa tcheke gwosè yo mande yo.
  3. CVE-2023-42117 – ki te koze tou pa mank de verifikasyon nan done opinyon sou pò 25 nan sèvis la SMTP.

Frape yo make kòm 0-jou, ki endike ke yo pa yo te fiks, byenke dapre ZDI, devlopè Exim yo te avèti depi lontan sou prezans yo. Petèt ranje a pral nan vèsyon 4.97 nan sèvè a, men sa a se pa sèten.

Kòm yon pwoteksyon kont frajilite sa yo, yo pwopoze kounye a limite aksè a SMTP sou pò 25.

UPD. Li sanble ke bagay yo pa tèlman mal. Frape sa yo se lokal nan nati. Yo pa travay si sèvè a pa sèvi ak NTLM ak otantifikasyon EXTERNAL, pa fèmen dèyè yon proxy, pa sèvi ak potansyèlman danjere DNS sèvè, epi li pa sèvi ak spf nan acl la. Aprann plis ...

Sous: linux.org.ru

Achte hosting serye pou sit ki gen pwoteksyon DDoS, sèvè VPS VDS 🔥 Achte yon hébergement sit entènèt serye ak pwoteksyon DDoS, sèvè VPS VDS | ProHoster