Разработчики почтового сервера Exim выпустили исправления для трёх уязвимостей “нулевого дня”, обнаруженных на прошлой неделе в рамках программы Zero Day Initiative (” data-html=”true” data-original-title=”ZDI” >ZDI). Одна из них позволяла злоумышленникам производить удалённое выполнение кода без аутентификации.
Самый опасный недостаток безопасности с идентификатором CVE-2023-42115 (CVSS 9.8), обнаруженный анонимным исследователем безопасности, связан с ошибкой типа Out-of-bounds Write.
“Специфическая уязвимость существует в SMTP-сервисе, который по умолчанию слушает TCP-порт 25. Проблема заключается в отсутствии надлежащей проверки данных, предоставленных пользователем, что может привести к записи за пределами буфера” – пояснили в ZDI.
В опубликованной вчера версии Exim 4.96.1 компания внедрила исправления для ещё двух уязвимостей:
- CVE-2023-42114 : удалённого выполнения кода (CVSS 8.1);
- CVE-2023-42116 : раскрытия информации (CVSS 8.1).
Несмотря на оперативный подход к устранению уязвимостей, продукт компании Exim пока что с натяжкой можно назвать безопасным, ведь устранено только 3 из 6 обнаруженных на прошлой неделе уязвимостей. Без фикса пока что остаются следующие недостатки безопасности:
- CVE-2023-42117 : уязвимость удалённого выполнения кода из-за неправильной нейтрализации специальных элементов (CVSS 8.1);
- CVE-2023-42118 : уязвимость удалённого выполнения кода из-за целочисленного переполнения в libspf2 (CVSS 7.5);
- CVE-2023-42119 : уязвимость раскрытия информации из-за чтения за пределами буфера в dnsdb (CVSS 3.1).
Несмотря на высокую степень угрозы CVE-2023-42115 (9.8 из 10), команда Exim утверждает, что успешная эксплуатация зависит от использования внешней аутентификации на целевых серверах. По данным сервиса Shodan, несмотря на то, что 3,5 миллиона серверов Exim доступны из Интернета, это требование резко сокращает количество почтовых серверов, потенциально уязвимых для атак.
Ализ Хаммонд из watchTowr Labs согласился с выводами разработчиков Exim и прокомментировал ситуацию следующим образом: “Большинству из нас не о чем беспокоиться. Но если вы из тех, кто использует одну из уязвимых функций, вам стоит ознакомиться с информацией и следовать советам ZDI. Тем не менее, это скорее простой недочёт, чем глобальная катастрофа”.