de ontwikkelaars bijgewerkt EXIM naar versie 4.92.3, de vaststelling van een nieuwe kritische DoS kwetsbaarheid, die theoretisch toegestaan een aanvaller kwaadaardige code uit te voeren op de doelserver.
THij probleem getroffen alle versies van de e-mailserver, beginnend vanaf 4.92 naar de nieuwste versie 4.92.2.De kwetsbaarheid werd geïdentificeerd door CVE-2019-16.928 en werd ontdekt door QAX-A-TEAM.
Het probleem bij de heapbufferoverloop in string_vformat (string.c) die optreedt wanneer Exim verwerkt een zeer lange reeks in de Extended HELO (incident) van de Uitgebreide Simple Mail Transfer Protocol (ESMTP) bevelbericht.
“Er is een heap overflow in string_vformat (string.c). De op dit moment bekende exploit maakt gebruik van een extreem lange EHLO string naar de Exim proces dat wordt ontvangen van het bericht crash. Terwijl op deze manier van werken Exim al haar privileges gedaald, andere paden naar de kwetsbare code bereikt kunnen bestaan en externe code lijkt mogelijk”, - Exim's security team zei.
eigenlijk, Dit betekent dat een aanvaller schadelijke code kan injecteren in EHLO, waardoor afstand uitlokken van een fout in de server. Dit kan leiden tot zowel denial of service en uitvoering van code, onderzoekers waarschuwen.
Hoewel er geen aanvallen op dit beveiligingslek zijn nog niet ontdekt, EEN PoC exploit al gepubliceerd in het publieke domein.
Onder verwijzing naar, dit is niet de eerste serieuze probleem in Exim in de afgelopen tijd. Bijvoorbeeld, afgelopen zomer Exim vond een bug CVE-2019-10.149, die aanvallers toegestaan om opdrachten uit te voeren als root op externe mailservers.
Al snel was vond een andere kritieke kwetsbaarheid, CVE-2019-15.846, die ook toegestaan het uitvoeren van willekeurige code met root privileges. Volgens een mailserver onderzoek gepubliceerd door E-Soft Inc, Exim is momenteel de meest gebruikte MX-server wordt geïnstalleerd op meer dan 57% een totaal van 1,740,809 mailservers bereikbaar op het internet, wat neerkomt op iets meer dan 507,000 Exim servers.
Wat belangrijk is, is dat honderdduizenden - zo niet miljoenen servers - op dit moment worden blootgesteld aan denial of service (eventueel externe code) en op afstand commando's uitvoeren van aanslagen als niet dringend gepatcht tegen CVE-2019-16.928 En CVE-2019-15.846.
