ALERTE - Vulnérabilité serveur de messagerie Exim (27.11.17)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE - Vulnérabilité serveur de messagerie Exim (27.11.17)

Messagede pierre » 28 11 2017

ALERTE - Vulnérabilité dans le serveur de messagerie Exim


Risque(s)
Exécution de code arbitraire à distance

Systèmes affectés
Exim version 4.89
Exim version 4.88

Résumé
Le 23 novembre 2017, un rapport de bogue a été publié sur le système de suivi d'anomalies de fonctionnement du logiciel Exim. Ce rapport fait état de la découverte d'une vulnérabilité de type Use-After-Free. Cette vulnérabilité déclenchée lors de l'analyse d'entêtes de courriels permettrait la prise de contrôle du système à distance.

Une preuve de concept est attaché au rapport de bogue. Ce dernier, minimaliste, permet de détourner le flux d'exécution du programme vers une adresse spécifié par l'attaquant. Il se peut qu'un code d'exploitation complet soit développé dans les jours à venir.

Un correctif a été developpé et la publication de la nouvelle version du logiciel Exim incluant le correctif est imminente.

Contournement provisoire
Un contournement provisoire a été identifié par l'un des développeurs et consiste à intégrer la variable suivante dans la section principale de la configuration d'Exim :

chunking_advertise_hosts =

Cette variable doit être vide, c'est à dire que rien ne doit suivre le caractère "=" de cette ligne. L'extension ESMTP CHUNKING qui active l'en-tête vulnérable est ainsi désactivée.

Il est nécessaire de recharger la configuration d'Exim une fois cette modification réalisée.

Documentation
Rapport de bug
https://bugs.exim.org/show_bug.cgi?id=2199

Contournement provisoire
https://lists.exim.org/lurker/message/2 ... ac.en.html
Avatar de l’utilisateur
pierre
 
Messages: 23439
Inscription: 20 05 2002
Localisation: Ici et maintenant

Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 8 invités