Exim geliştiricileri, Trend Micro’nun Sıfır Gün Girişimi (ZDI) aracılığıyla geçen hafta açıklanan sıfır günlerin üçü için yamalar yayınladı; bunlardan biri, kimliği doğrulanmamış saldırganların uzaktan kod yürütme olanağına sahip olmasına olanak tanıyor.
Anonim bir güvenlik araştırmacısı tarafından keşfedilen güvenlik kusuru (CVE-2023-42115), SMTP hizmetinde bulunan Sınır Dışı Yazma zayıflığından kaynaklanmaktadır ve kimliği doğrulanmamış uzaktaki saldırganlar tarafından hizmet bağlamında kod yürütmek için kullanılabilir. hesap.
ZDI’nin tavsiyesi şöyle: “Varsayılan olarak TCP bağlantı noktası 25’i dinleyen smtp hizmetinde belirli bir kusur mevcut. Sorun, kullanıcı tarafından sağlanan verilerin uygun şekilde doğrulanmamasından kaynaklanıyor ve bu da arabelleğin sonunu aşan bir yazmayla sonuçlanabilir.” açıklıyor.
Exim geliştirme ekibi, bugün yayımlanan 4.96.1 sürümünün değişiklik günlüğünde “Harici kimlik doğrulayıcıdaki, harici olarak sağlanan giriş tarafından tetiklenebilecek olası bir OOB yazımını düzeltin” diyor.
Exim ekibi bugün ayrıca bir RCE hatasını (CVE-2023-42114) ve bir bilginin açığa çıkması güvenlik açığını (CVE-2023-42116) yamaladı.
Exim geliştiricisi Heiko Schlittermann’ın Cuma günü Açık Kaynak Güvenliği (oss-sec) e-posta listesinde açıkladığı gibi, bugünkü düzeltmeler zaten “korumalı bir depoda mevcuttu” ve “dağıtım sorumluları tarafından uygulanmaya hazırdı.”
Düzeltilmesi gereken sıfır gün güvenlik açıklarının listesi şunları içerir:
“Dünyanın sonunu getirecek bir felaket” değil
Exim, ZDI ekibi tarafından 9,8/10 ciddiyet puanıyla etiketlenmiş olsa da, geçen hafta ZDI tarafından açıklanan altı sıfır günün en şiddetlisi olan CVE-2023-42115’in başarılı bir şekilde kullanılmasının, harici kimlik doğrulamanın kullanımına bağlı olduğunu söylüyor. hedeflenen sunucular.
Shodan’a göre 3,5 milyon Exim sunucusu çevrimiçi olarak açıkta olsa da bu gereklilik, saldırılara karşı potansiyel olarak savunmasız olan Exim posta sunucularının sayısını büyük ölçüde azaltıyor.
watchTowr Labs tarafından altı sıfır günün analizi, Exim’in bu sıfır günlerin ciddiyetini ele aldığını doğruluyor çünkü bu sıfır günler “erişilebilir olmak için çok özel bir ortam gerektiriyor.”
watchTowr Labs ayrıca, güvenlik açığı bulunan Exim sunucularının başarılı bir şekilde kullanılması için gereken tüm yapılandırma gereksinimlerinin bir listesini de sağladı:
CVE | CVSS | Gereksinimler |
CVE-2023-42115 | 9.8 | “Harici” kimlik doğrulama şeması yapılandırılmış ve kullanılabilir |
CVE-2023-42116 | 8.1 | “SPA” modülü (NTLM kimlik doğrulaması için kullanılır) yapılandırılmış ve kullanılabilir |
CVE-2023-42117 | 8.1 | Güvenilmeyen proxy sunucusuyla kullanımda olan Exim Proxy (SOCKS veya HTTP proxy’den farklı) |
CVE-2023-42118 | 7.5 | ACL’de kullanılan “SPF” koşulu |
CVE-2023-42114 | 3.7 | Exim sunucusunu bir yukarı akış sunucusuna yetkilendirmek için yapılandırılmış “SPA” modülü (NTLM kimlik doğrulaması için kullanılır) |
CVE-2023-42119 | 3.1 | Güvenilmeyen bir DNS çözümleyici |
“Çoğumuzun endişelenmesine gerek yok. Ancak listelenen özelliklerden birini kullanan şanssızlardan biriyseniz, ZDI’nın ‘uygulamayla etkileşimi kısıtlama’ tavsiyesini uygulamadan önce daha fazla bilgi almak isteyeceksiniz. ,” watchTowr araştırmacısı Aliz Hammond dedi.
“Bu nedenle bizim tavsiyemiz olağandır; yamalar hazır olduğunda, mümkün olduğunda yama yapın [..] Ancak bu arada paniğe kapılmayın; bu, dünyanın sonunu getirecek bir felaketten çok, ıslak bir maytap.”