Les développeurs d’Exim ont publié des correctifs pour trois des zéros divulgués la semaine dernière via la Zero Day Initiative (ZDI) de Trend Micro, l’un d’entre eux permettant à des attaquants non authentifiés d’exécuter du code à distance.
Découverte par un chercheur en sécurité anonyme, la faille de sécurité (CVE-2023-42115) est due à une faiblesse d’écriture hors limites trouvée dans le service SMTP et peut être exploitée par des attaquants distants non authentifiés pour exécuter du code dans le contexte du service. compte.
« La faille spécifique existe au sein du service smtp, qui écoute par défaut sur le port TCP 25. Le problème résulte du manque de validation appropriée des données fournies par l’utilisateur, ce qui peut entraîner une écriture au-delà de la fin d’un tampon », l’avis de ZDI explique.
« Corrigez une éventuelle écriture OOB dans l’authentificateur externe, qui pourrait être déclenchée par une entrée fournie en externe », indique l’équipe de développement d’Exim dans le journal des modifications de la version 4.96.1, publiée aujourd’hui.
Aujourd’hui, l’équipe Exim a également corrigé un bug RCE (CVE-2023-42114) et une vulnérabilité de divulgation d’informations (CVE-2023-42116).
Comme l’a révélé vendredi Heiko Schlittermann, développeur d’Exim, sur la liste de diffusion Open Source Security (oss-sec), les correctifs d’aujourd’hui étaient déjà « disponibles dans un référentiel protégé » et « prêts à être appliqués par les responsables de la distribution ».
La liste des vulnérabilités zero-day qui restent à corriger comprend :
- CVE-2023-42117 : Vulnérabilité d’exécution de code à distance liée à la neutralisation incorrecte d’éléments spéciaux dans Exim (CVSS v3.0 8.1)
- CVE-2023-42118 : Vulnérabilité d’exécution de code à distance en cas de dépassement d’entier excessif dans Exim libspf2 (CVSS v3.0 7.5)
- CVE-2023-42119 : Vulnérabilité de divulgation d’informations de lecture hors limites dans Exim dnsdb (CVSS v3.0 3.1)
Pas « une catastrophe mettant fin au monde »
Bien qu’il ait reçu un score de gravité de 9,8/10 par l’équipe ZDI, Exim affirme que l’exploitation réussie de CVE-2023-42115, le plus grave des six zéros divulgués par ZDI la semaine dernière, dépend de l’utilisation d’une authentification externe sur les serveurs ciblés.
Même si 3,5 millions de serveurs Exim sont exposés en ligne, selon Shodan, cette exigence réduit considérablement le nombre de serveurs de messagerie Exim potentiellement vulnérables aux attaques.
Une analyse des six jours zéro par watchTowr Labs confirme la prise en compte par Exim de la gravité de ces jours zéro car ils « nécessitent un environnement très spécifique pour être accessibles ».
watchTowr Labs a également fourni une liste de toutes les exigences de configuration sur les serveurs Exim vulnérables nécessaires à une exploitation réussie :
« La plupart d’entre nous n’ont pas à s’inquiéter. Si vous faites partie des malchanceux qui utilisent l’une des fonctionnalités répertoriées, vous souhaiterez obtenir plus d’informations avant de suivre les conseils de ZDI visant à « restreindre l’interaction avec l’application ». « , a déclaré Aliz Hammond, chercheuse chez watchTowr.
« Donc, notre conseil est le suivant : appliquez des correctifs quand vous le pouvez, une fois que les correctifs sont disponibles [..] Mais en attendant, ne paniquez pas : celui-ci est plus un pétard humide qu’une catastrophe mettant fin au monde. »