
La vulnérabilité de dépassement de mémoire tampon, indexée comme étant CVE-2018-6789, réside dans la fonction de décodage base64. En envoyant une entrée spécialement manipulée à un serveur exécutant Exim, les attaquants peuvent être en mesure d'exécuter du code à distance.

Un seul octet de données résultant d'un exploit peut « écraser certaines données critiques lorsque la chaîne correspond à une longueur spécifique », ont expliqué les chercheurs de Devcore Security Consulting. « De plus, cet octet est contrôlable, ce qui rend l'exploitation encore plus réalisable », notent les chercheurs, estimant que ce bogue peut être déclenché facilement, provoquant alors l’exécution de code à distance.
De son côté, l’équipe chargée de la maintenance d’Exim avait déclaré « Actuellement, nous ne sommes pas sûrs de la gravité de la vulnérabilité. Nous croyons qu'exploiter cette faille peut être difficile. Une mesure d’atténuation n'est pas encore connue. »
L'équipe DEVCORE a développé, détaillé et publié mardi un exploit ciblant le démon SMTP d'Exim.
Ils ont également noté que le bogue est présent depuis le premier commit d'Exim. Aussi, toutes les versions du logiciel antérieures à la version 4.90.1 sont affectées.
Les chercheurs de Devcore ont assuré que plus de 400 000 serveurs sont en danger. Les développeurs ont publié un correctif avec la version 4.90.1, qui a été diffusée le 10 février. Toute organisation qui utilise Exim doit donc s'assurer qu'elle utilise la dernière version.
Source : Devcore, Exim
Et vous ?
