LINUX.ORG.RU

Безопасность


125

0

Всего сообщений: 2057

См. также:

 , , , , , , , ,

Синонимы:

 secure, security

В Exim обнаружили критические уязвимости, позволящие выполнить на сервере произвольный код

Группа Безопасность

ZDI (Zero Day Initiative) опубликовали сведения о трех найденных критических уязвимостях в почтовом сервере Exim, позволяющих выполнить произвольный код от имени процесса сервера, открывшего 25й порт. Для проведения атаки аутентификация на сервере не требуется.

  1. CVE-2023-42115 — позволяет добиться записи своих данных за границами выделенного буфера. Вызвана ошибкой проверки входных данных в сервисе SMTP.
  2. CVE-2023-42116 – вызвана копированием данных от пользователя в буфер фиксированного размера без проверки необходимого размера.
  3. CVE-2023-42117 – также вызвана отсутствие проверки входных данных на 25 порту SMTP-сервиса.

Уязвимости отмечены как 0-day, что говорит о том, что их не исправляют, хотя по словам ZDI разработчики Exim уже давно предупреждены об их наличии. Возможно, исправление будет в версии 4.97 сервера, но это не точно.

В качестве защиты от этих уязвимостей на данный момент предлагается ограничение доступа к SMTP на 25 порту.

>>> Подробности

 , ,

Zhbert
()

Еще новости

Август 2023

Апрель 2023

Декабрь 2022

Ноябрь 2022

Октябрь 2022

Сентябрь 2022

2022

Опросы

Декабрь 2022

Сентябрь 2022

2022

2019

2018

2017

2016

2015

2014

2013

2012

Галерея

Форум

Сентябрь 2023

Август 2023

Июль 2023

Июль 2023

Июнь 2023

Май 2023