Projek Inisiatif Sifar Hari (ZDI) telah mendedahkan kelemahan yang tidak ditambal (sifar hari) (CVE-2023-42115, CVE-2023-42116, CVE-2023-42117) dalam pelayan mel Exim. Kerentanan ini membenarkan pelaksanaan kod jauh pada pelayan dengan keistimewaan proses menerima sambungan pada port rangkaian 25. Pengesahan tidak diperlukan untuk serangan itu.
Kerentanan pertama (CVE-2023-42115) disebabkan oleh ralat dalam perkhidmatan SMTP dan berkaitan dengan kekurangan pengesahan data yang betul yang diterima daripada pengguna semasa sesi SMTP dan digunakan untuk mengira saiz penimbal. Akibatnya, penyerang boleh memanipulasi data mereka untuk menulis ke lokasi memori di luar penimbal yang diperuntukkan.
Kerentanan kedua (CVE-2023-42116) hadir dalam pengendali permintaan NTLM dan disebabkan oleh menyalin data yang diterima daripada pengguna ke dalam penimbal saiz tetap tanpa semakan yang diperlukan pada saiz maklumat yang ditulis.
Kerentanan ketiga (CVE-2023-42117) hadir dalam proses smtp, yang menerima sambungan pada port TCP 25, dan disebabkan oleh kekurangan pengesahan input, yang boleh menyebabkan data yang dihantar pengguna ditulis ke kawasan memori di luar penimbal yang diperuntukkan.
Kerentanan ditandakan sebagai hari sifar, bermakna ia kekal tidak ditambal, tetapi laporan ZDI mendakwa bahawa pembangun Exim telah dimaklumkan tentang isu tersebut terlebih dahulu. Perubahan terakhir kepada pangkalan kod Exim telah dibuat dua hari lalu, dan tidak jelas bila isu itu akan dibetulkan (vendor pengedaran masih belum bertindak balas, kerana maklumat itu telah didedahkan tanpa butiran beberapa jam yang lalu). Pembangun Exim sedang bersedia untuk mengeluarkan versi baharu 4.97, tetapi belum ada tarikh keluaran yang tepat lagi. Mengehadkan akses kepada perkhidmatan SMTP berasaskan Exim disebut sebagai satu-satunya kaedah mitigasi semasa.
Sebagai tambahan kepada kelemahan kritikal yang dinyatakan di atas, maklumat juga telah didedahkan tentang beberapa isu yang kurang berbahaya:
- CVE-2023-42118 ialah limpahan integer dalam pustaka libspf2 yang berlaku semasa menghuraikan makro SPF. Kerentanan ini membolehkan kerosakan memori jauh dan berpotensi dieksploitasi untuk melaksanakan kod sewenang-wenangnya. pelayan.
- CVE-2023-42114 ialah kerentanan bacaan di luar sempadan dalam pengendali NTLM. Kerentanan ini boleh menyebabkan kebocoran memori dalam proses pengendalian permintaan rangkaian.
- CVE-2023-42119 - Kerentanan dalam pengendali dnsdb membawa kepada kebocoran memori dalam proses smtp.
Sumber: opennet.ru
