Une faille dans un programme de messagerie largement utilisé qui peut exposerons quelques-uns 400,000 serveurs à l'échelle mondiale a été découvert par des chercheurs de sécurité.
La vulnérabilité, qui a été identifié comme CVE-2018-6789 réside dans toutes les versions de l'agent de transfert de messages Exim (plus spécifiquement en fonction de décodage base64) sans le 4.90.1 version.
La faille est un débordement de mémoire tampon et met un serveur à risque d'attaques qui peut exécuter du code malveillant. Le bug peut être exploité en envoyant d'entrée spécialement conçue à un Exim de fonctionnement du serveur.
CVE-2018-6789 vulnérabilité Exim en détail
les chercheurs ont rapporté Devcore et trouvé la faille Exim:
Nous avons rapporté une vulnérabilité de débordement dans la fonction de décodage base64 de Exim sur 5 Février, 2018, identifié comme CVE-2018-6789. Ce bug existe depuis la première validation de Exim, Toutes les versions sont donc affectées. Selon nos recherches, il peut être mis à profit pour gagner de code à distance pré-auth exécution et au moins 400k serveurs sont à risque. version patchée 4.90.1 est déjà sorti et nous vous suggérons de mettre à niveau Exim immédiatement.
"Il y a un débordement de tampon dans base64d(), si certaines conditions préalables sont remplies. Utilisation d'un message de fabrication artisanale, l'exécution de code à distance semble être possible,» Exim dit.
Apparemment, sur 400,000 les serveurs sont à risque, tel que rapporté par Devcore, les chercheurs qui ont trouvé la faille. Les requêtes sur le moteur de recherche informatique Shodan trouvé un grand nombre de serveurs exécutant des versions vulnérables.
Un patch pour la faille est déjà disponible et est actuellement testé.
À l'heure actuelle Exim est incertain au sujet de la gravité de la faille. Cependant, ils croient que l'exploit est difficile, et que l'atténuation ne sait pas.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: