Het Zero Day Initiative (ZDI)-project heeft informatie vrijgegeven over niet-gepatchte (0-day) kwetsbaarheden (CVE-2023-42115, CVE-2023-42116, CVE-2023-42117) in de Exim-mailserver, waardoor u op afstand uw code op de server met het rechtenproces dat verbindingen op netwerkpoort 25 accepteert. Er is geen authenticatie vereist om de aanval uit te voeren.
De eerste kwetsbaarheid (CVE-2023-42115) wordt veroorzaakt door een fout in de smtp-service en houdt verband met het ontbreken van goede controles op de gegevens die tijdens de SMTP-sessie van de gebruiker worden ontvangen en worden gebruikt om de buffergrootte te berekenen. Als gevolg hiervan kan de aanvaller gecontroleerd schrijven van zijn gegevens naar een geheugengebied buiten de grens van de toegewezen buffer bewerkstelligen.
De tweede kwetsbaarheid (CVE-2023-42116) is aanwezig in de NTLM-verzoekhandler en wordt veroorzaakt door het kopiΓ«ren van gegevens die van de gebruiker zijn ontvangen naar een buffer met een vaste grootte zonder de noodzakelijke controles op de grootte van de informatie die wordt geschreven.
De derde kwetsbaarheid (CVE-2023-42117) is aanwezig in het smtp-proces dat verbindingen accepteert op TCP-poort 25 en wordt veroorzaakt door een gebrek aan invoervalidatie, wat ertoe kan leiden dat door de gebruiker aangeleverde gegevens naar een geheugengebied buiten de toegewezen buffer worden geschreven .
Kwetsbaarheden worden gemarkeerd als 0-dag, d.w.z. blijven onopgelost, maar in het ZDI-rapport staat dat de Exim-ontwikkelaars vooraf op de hoogte waren gesteld van de problemen. De laatste wijziging aan de Exim-codebase is twee dagen geleden doorgevoerd en het is nog niet duidelijk wanneer de problemen zullen worden opgelost (distributiefabrikanten hebben nog geen tijd gehad om te reageren sinds de informatie enkele uren geleden zonder details werd vrijgegeven). Momenteel bereiden Exim-ontwikkelaars zich voor op de release van een nieuwe versie 4.97, maar er is nog geen exacte informatie over het tijdstip van publicatie. De enige beschermingsmethode die momenteel wordt genoemd, is het beperken van de toegang tot de op Exim gebaseerde SMTP-service.
Naast de hierboven genoemde kritieke kwetsbaarheden is er ook informatie vrijgegeven over een aantal minder gevaarlijke problemen:
- CVE-2023-42118 is een overflow van gehele getallen in de libspf2-bibliotheek bij het parseren van SPF-macro's. Door het beveiligingslek kunt u op afstand de geheugeninhoud beschadigen en kan mogelijk worden gebruikt om de uitvoering van uw code op de server te organiseren.
- CVE-2023-42114 is een leesbewerking buiten de buffer in de NTLM-handler. Het probleem kan ertoe leiden dat de geheugeninhoud van het proces dat netwerkaanvragen verzorgt, lekt.
- CVE-2023-42119 is een kwetsbaarheid in de dnsdb-handler die leidt tot een geheugenlek in het smtp-proces.
Bron: opennet.ru