โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > ช่องโหว่ที่สำคัญสามจุดใน Exim ที่อนุญาตให้มีการเรียกใช้โค้ดจากระยะไกลบนเซิร์ฟเวอร์

ช่องโหว่ที่สำคัญสามจุดใน Exim ที่อนุญาตให้มีการเรียกใช้โค้ดจากระยะไกลบนเซิร์ฟเวอร์

โครงการ Zero Day Initiative (ZDI) ได้เปิดเผยข้อมูลเกี่ยวกับช่องโหว่ที่ยังไม่ได้แพตช์ (0 วัน) (CVE-2023-42115, CVE-2023-42116, CVE-2023-42117) ในเซิร์ฟเวอร์อีเมล Exim ซึ่งช่วยให้คุณสามารถดำเนินการจากระยะไกลได้ รหัสบนเซิร์ฟเวอร์พร้อมกระบวนการสิทธิ์ที่ยอมรับการเชื่อมต่อบนพอร์ตเครือข่าย 25 ไม่จำเป็นต้องมีการรับรองความถูกต้องเพื่อทำการโจมตี

ช่องโหว่แรก (CVE-2023-42115) เกิดจากข้อผิดพลาดในบริการ smtp และเกี่ยวข้องกับการขาดการตรวจสอบข้อมูลที่ได้รับจากผู้ใช้ระหว่างเซสชัน SMTP อย่างเหมาะสม และใช้ในการคำนวณขนาดบัฟเฟอร์ เป็นผลให้ผู้โจมตีสามารถควบคุมการเขียนข้อมูลของเขาไปยังพื้นที่หน่วยความจำที่อยู่นอกขอบเขตของบัฟเฟอร์ที่จัดสรรได้

ช่องโหว่ที่สอง (CVE-2023-42116) มีอยู่ในตัวจัดการคำขอ NTLM และเกิดจากการคัดลอกข้อมูลที่ได้รับจากผู้ใช้ไปยังบัฟเฟอร์ขนาดคงที่โดยไม่มีการตรวจสอบที่จำเป็นสำหรับขนาดของข้อมูลที่กำลังเขียน

ช่องโหว่ที่สาม (CVE-2023-42117) มีอยู่ในกระบวนการ smtp ที่ยอมรับการเชื่อมต่อบนพอร์ต TCP 25 และเกิดจากการขาดการตรวจสอบอินพุต ซึ่งอาจนำไปสู่การเขียนข้อมูลที่ผู้ใช้ระบุไปยังพื้นที่หน่วยความจำภายนอกบัฟเฟอร์ที่จัดสรร .

ช่องโหว่ถูกทำเครื่องหมายเป็น 0 วัน เช่น ยังคงไม่ได้รับการแก้ไข แต่รายงานของ ZDI ระบุว่านักพัฒนา Exim ได้รับแจ้งปัญหาล่วงหน้า การเปลี่ยนแปลงล่าสุดใน codebase ของ Exim เกิดขึ้นเมื่อสองวันก่อน และยังไม่ชัดเจนว่าปัญหาจะได้รับการแก้ไขเมื่อใด (ผู้ผลิตผู้จัดจำหน่ายยังไม่มีเวลาตอบสนองเนื่องจากข้อมูลถูกเปิดเผยโดยไม่มีรายละเอียดเมื่อหลายชั่วโมงก่อน) ปัจจุบัน นักพัฒนา Exim กำลังเตรียมที่จะเปิดตัวเวอร์ชันใหม่ 4.97 แต่ยังไม่มีข้อมูลที่แน่นอนเกี่ยวกับเวลาที่เผยแพร่ วิธีการป้องกันเดียวที่กล่าวถึงในปัจจุบันคือการจำกัดการเข้าถึงบริการ SMTP ที่ใช้ Exim

นอกเหนือจากช่องโหว่ที่สำคัญที่กล่าวข้างต้นแล้ว ยังมีการเปิดเผยข้อมูลเกี่ยวกับปัญหาที่เป็นอันตรายน้อยกว่าหลายประการ:

  • CVE-2023-42118 เป็นจำนวนเต็มล้นในไลบรารี libspf2 เมื่อแยกวิเคราะห์มาโคร SPF ช่องโหว่นี้ช่วยให้คุณสามารถเริ่มต้นความเสียหายจากระยะไกลของเนื้อหาหน่วยความจำและอาจใช้เพื่อจัดระเบียบการดำเนินการโค้ดของคุณบนเซิร์ฟเวอร์
  • CVE-2023-42114 เป็นการอ่านนอกบัฟเฟอร์ในตัวจัดการ NTLM ปัญหานี้อาจส่งผลให้เนื้อหาหน่วยความจำของกระบวนการให้บริการคำขอเครือข่ายรั่วไหล
  • CVE-2023-42119 เป็นช่องโหว่ในตัวจัดการ DNSDB ที่นำไปสู่หน่วยความจำรั่วไหลในกระบวนการ SMTP

ที่มา: opennet.ru

เพิ่มความคิดเห็น