Un bogue affecte les versions antérieures à Exim 4.90.1
Et laisse plus de 400 000 serveurs UNIX vulnérables à des exécutions de code à distance
Le 2018-03-07 13:52:27, par Stéphane le calme, Chroniqueur Actualités
Exim est un serveur de messagerie électronique utilisé sur de nombreux systèmes de type UNIX. Pour ceux d’entre vous qui l’utilisent et qui n’ont pas encore effectué la mise à niveau vers la version 4.90.1, il est grand temps de le faire. En effet, des chercheurs ont découvert qu’un bogue affectant toutes les versions précédentes rend vulnérables les serveurs qui s’en servent à des exécutions de code à distance.
La vulnérabilité de dépassement de mémoire tampon, indexée comme étant CVE-2018-6789, réside dans la fonction de décodage base64. En envoyant une entrée spécialement manipulée à un serveur exécutant Exim, les attaquants peuvent être en mesure d'exécuter du code à distance.
Un seul octet de données résultant d'un exploit peut « écraser certaines données critiques lorsque la chaîne correspond à une longueur spécifique », ont expliqué les chercheurs de Devcore Security Consulting. « De plus, cet octet est contrôlable, ce qui rend l'exploitation encore plus réalisable », notent les chercheurs, estimant que ce bogue peut être déclenché facilement, provoquant alors l’exécution de code à distance.
De son côté, l’équipe chargée de la maintenance d’Exim avait déclaré « Actuellement, nous ne sommes pas sûrs de la gravité de la vulnérabilité. Nous croyons qu'exploiter cette faille peut être difficile. Une mesure d’atténuation n'est pas encore connue. »
L'équipe DEVCORE a développé, détaillé et publié mardi un exploit ciblant le démon SMTP d'Exim.
Ils ont également noté que le bogue est présent depuis le premier commit d'Exim. Aussi, toutes les versions du logiciel antérieures à la version 4.90.1 sont affectées.
Les chercheurs de Devcore ont assuré que plus de 400 000 serveurs sont en danger. Les développeurs ont publié un correctif avec la version 4.90.1, qui a été diffusée le 10 février. Toute organisation qui utilise Exim doit donc s'assurer qu'elle utilise la dernière version.
Source : Devcore, Exim
Et vous ?
La vulnérabilité de dépassement de mémoire tampon, indexée comme étant CVE-2018-6789, réside dans la fonction de décodage base64. En envoyant une entrée spécialement manipulée à un serveur exécutant Exim, les attaquants peuvent être en mesure d'exécuter du code à distance.
Un seul octet de données résultant d'un exploit peut « écraser certaines données critiques lorsque la chaîne correspond à une longueur spécifique », ont expliqué les chercheurs de Devcore Security Consulting. « De plus, cet octet est contrôlable, ce qui rend l'exploitation encore plus réalisable », notent les chercheurs, estimant que ce bogue peut être déclenché facilement, provoquant alors l’exécution de code à distance.
De son côté, l’équipe chargée de la maintenance d’Exim avait déclaré « Actuellement, nous ne sommes pas sûrs de la gravité de la vulnérabilité. Nous croyons qu'exploiter cette faille peut être difficile. Une mesure d’atténuation n'est pas encore connue. »
L'équipe DEVCORE a développé, détaillé et publié mardi un exploit ciblant le démon SMTP d'Exim.
Ils ont également noté que le bogue est présent depuis le premier commit d'Exim. Aussi, toutes les versions du logiciel antérieures à la version 4.90.1 sont affectées.
Les chercheurs de Devcore ont assuré que plus de 400 000 serveurs sont en danger. Les développeurs ont publié un correctif avec la version 4.90.1, qui a été diffusée le 10 février. Toute organisation qui utilise Exim doit donc s'assurer qu'elle utilise la dernière version.
Source : Devcore, Exim
Et vous ?