Les développeurs d’Exim ont publié des correctifs pour trois des zéros divulgués la semaine dernière via la Zero Day Initiative (ZDI) de Trend Micro, l’un d’entre eux permettant à des attaquants non authentifiés d’exécuter du code à distance.
Découverte par un chercheur anonyme en sécurité, la faille de sécurité (CVE-2023-42115) est due à un Écriture hors limites faiblesse trouvée dans le service SMTP et peut être exploitée par des attaquants distants non authentifiés pour exécuter du code dans le contexte du compte de service.
« La faille spécifique existe au sein du service SMTP, qui écoute par défaut sur le port TCP 25. Le problème résulte du manque de validation appropriée des données fournies par l’utilisateur, ce qui peut entraîner une écriture au-delà de la fin d’un tampon », indique l’avis de ZDI. explique.
« Corrigez une éventuelle écriture OOB dans l’authentificateur externe, qui pourrait être déclenchée par une entrée fournie en externe », indique l’équipe de développement d’Exim dans le journal des modifications de la version 4.96.1, sorti aujourd’hui.
Aujourd’hui, l’équipe Exim a également corrigé un bug RCE (CVE-2023-42114) et une vulnérabilité de divulgation d’informations (CVE-2023-42116).
En tant que développeur Exim Heiko Schlittermann révélé vendredi, sur la liste de diffusion Open Source Security (oss-sec), les correctifs d’aujourd’hui étaient déjà « disponibles dans un référentiel protégé » et « prêts à être appliqués par les responsables de la distribution ».
La liste des vulnérabilités zero-day qui restent à corriger comprend :
Pas « une catastrophe mettant fin au monde »
Bien qu’il ait reçu un score de gravité de 9,8/10 par l’équipe ZDI, Exim affirme que l’exploitation réussie de CVE-2023-42115, le plus grave des six zéros divulgués par ZDI la semaine dernière, dépend de l’utilisation d’une authentification externe sur les serveurs ciblés.
Même si 3,5 millions de serveurs Exim sont exposés en ligne, selon Shodancette exigence réduit considérablement le nombre de serveurs de messagerie Exim potentiellement vulnérables aux attaques.
Un analyse des six jours zéro par watchTowr Labs confirme le point de vue d’Exim sur la gravité de ces zero-days car ils « nécessitent un environnement très spécifique pour être accessibles ».
watchTowr Labs a également fourni une liste de toutes les exigences de configuration sur les serveurs Exim vulnérables nécessaires à une exploitation réussie :
| CVE | CVSS | Exigences |
| CVE-2023-42115 | 9.8 | Schéma d’authentification « externe » configuré et disponible |
| CVE-2023-42116 | 8.1 | Module « SPA » (utilisé pour l’authentification NTLM) configuré et disponible |
| CVE-2023-42117 | 8.1 | Exim Proxy (différent d’un proxy SOCKS ou HTTP) utilisé avec un serveur proxy non fiable |
| CVE-2023-42118 | 7.5 | Condition « SPF » utilisée dans une ACL |
| CVE-2023-42114 | 3.7 | Module « SPA » (utilisé pour l’authentification NTLM) configuré pour authentifier le serveur Exim sur un serveur en amont |
| CVE-2023-42119 | 3.1 | Un résolveur DNS non fiable |
« La plupart d’entre nous n’ont pas à s’inquiéter. Si vous faites partie des malchanceux qui utilisent l’une des fonctionnalités répertoriées, vous souhaiterez obtenir plus d’informations avant de suivre les conseils de ZDI visant à « restreindre l’interaction avec l’application ». « , a déclaré Aliz Hammond, chercheuse chez WatchTowr.
« Donc, notre conseil est le suivant : appliquez des correctifs lorsque vous le pouvez, une fois que les correctifs sont disponibles. [..] Mais en attendant, pas de panique : celui-ci est plus un pétard mouillé qu’une catastrophe qui met fin au monde. »
