Il progetto Zero Day Initiative (ZDI) ha divulgato informazioni sulle vulnerabilità senza patch (0-day) (CVE-2023-42115, CVE-2023-42116, CVE-2023-42117) nel server di posta Exim, consentendoti di eseguire in remoto i tuoi codice sul server con il processo di diritti che accetta connessioni sulla porta di rete 25. Non è richiesta alcuna autenticazione per effettuare l'attacco.
La prima vulnerabilità (CVE-2023-42115) è causata da un errore nel servizio SMTP ed è associata alla mancanza di controlli adeguati sui dati ricevuti dall'utente durante la sessione SMTP e utilizzati per calcolare la dimensione del buffer. Di conseguenza, l'aggressore può ottenere una scrittura controllata dei suoi dati in un'area di memoria oltre il limite del buffer allocato.
La seconda vulnerabilità (CVE-2023-42116) è presente nel gestore delle richieste NTLM ed è causata dalla copia dei dati ricevuti dall'utente in un buffer di dimensione fissa senza i necessari controlli sulla dimensione delle informazioni scritte.
La terza vulnerabilità (CVE-2023-42117) è presente nel processo SMTP che accetta connessioni sulla porta TCP 25 ed è causata da una mancanza di convalida dell'input, che può portare alla scrittura dei dati forniti dall'utente in un'area di memoria esterna al buffer allocato .
Le vulnerabilità sono contrassegnate come 0-day, ovvero rimangono irrisolti, ma il rapporto ZDI afferma che gli sviluppatori Exim sono stati informati in anticipo dei problemi. L'ultima modifica al codice base Exim è stata apportata due giorni fa e non è ancora chiaro quando i problemi verranno risolti (i produttori di distribuzione non hanno ancora avuto il tempo di reagire poiché l'informazione è stata divulgata senza dettagli diverse ore fa). Attualmente gli sviluppatori di Exim si stanno preparando a rilasciare una nuova versione 4.97, ma non ci sono ancora informazioni precise sulla data della sua pubblicazione. L'unico metodo di protezione attualmente menzionato è limitare l'accesso al servizio SMTP basato su Exim.
Oltre alle vulnerabilità critiche sopra menzionate, sono state divulgate informazioni anche su diversi problemi meno pericolosi:
- CVE-2023-42118 è un overflow di numeri interi nella libreria libspf2 durante l'analisi delle macro SPF. La vulnerabilità consente di avviare la corruzione remota del contenuto della memoria e può potenzialmente essere utilizzata per organizzare l'esecuzione del codice sul server.
- CVE-2023-42114 è una lettura fuori buffer nel gestore NTLM. Il problema potrebbe causare la perdita del contenuto della memoria del processo che serve le richieste di rete.
- CVE-2023-42119 è una vulnerabilità nel gestore dnsdb che porta a una perdita di memoria nel processo smtp.
Fonte: opennet.ru