서버에서 원격 코드 실행을 허용하는 Exim의 세 가지 심각한 취약점

ZDI(Zero Day Initiative) 프로젝트는 Exim 메일 서버의 패치되지 않은(0일) 취약점(CVE-2023-42115, CVE-2023-42116, CVE-2023-42117)에 대한 정보를 공개했습니다. 네트워크 포트 25의 연결을 허용하는 권한 프로세스가 있는 서버의 코드입니다. 공격을 수행하는 데는 인증이 필요하지 않습니다.

첫 번째 취약점(CVE-2023-42115)은 smtp 서비스의 오류로 인해 발생하며, SMTP 세션 중에 사용자로부터 수신하고 버퍼 크기를 계산하는 데 사용되는 데이터에 대한 적절한 확인 부족과 관련이 있습니다. 결과적으로, 공격자는 할당된 버퍼의 경계를 넘어서는 메모리 영역에 자신의 데이터를 제어된 방식으로 쓸 수 있습니다.

두 번째 취약점(CVE-2023-42116)은 NTLM 요청 핸들러에 존재하며, 기록되는 정보의 크기에 대해 필요한 확인 없이 사용자로부터 받은 데이터를 고정 크기 버퍼에 복사함으로써 발생합니다.

세 번째 취약점(CVE-2023-42117)은 TCP 포트 25에서 연결을 수락하는 smtp 프로세스에 존재하며 입력 유효성 검사가 부족하여 발생합니다. 이로 인해 사용자 제공 데이터가 할당된 버퍼 외부의 메모리 영역에 기록될 수 있습니다. .

취약점은 0일로 표시됩니다. 아직 수정되지 않은 상태로 남아 있지만 ZDI 보고서에는 Exim 개발자에게 사전에 문제에 대한 통보가 전달되었다고 명시되어 있습니다. Exim 코드베이스에 대한 마지막 변경은 이틀 전에 이루어졌으며 문제가 언제 해결될지는 아직 확실하지 않습니다(몇 시간 전에 세부 정보 없이 정보가 공개되었기 때문에 배포 제조업체는 아직 대응할 시간이 없었습니다). 현재 Exim 개발자는 새 버전 4.97 출시를 준비하고 있지만 출시 시기에 대한 정확한 정보는 아직 없습니다. 현재 언급된 유일한 보호 방법은 Exim 기반 SMTP 서비스에 대한 액세스를 제한하는 것입니다.

위에서 언급한 심각한 취약점 외에도 덜 위험한 몇 가지 문제에 대한 정보도 공개되었습니다.

• CVE-2023-42118은 SPF 매크로를 구문 분석할 때 libspf2 라이브러리에서 발생하는 정수 오버플로입니다. 이 취약점을 통해 메모리 내용의 원격 손상을 시작할 수 있으며 잠재적으로 서버에서 코드 실행을 구성하는 데 사용될 수 있습니다.
• CVE-2023-42114는 NTLM 핸들러의 버퍼 외부 읽기입니다. 이 문제로 인해 네트워크 요청을 처리하는 프로세스의 메모리 내용이 누출될 수 있습니다.
• CVE-2023-42119는 smtp 프로세스에서 메모리 누수를 일으키는 dnsdb 핸들러의 취약점입니다.

출처 : opennet.ru