Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện và sửa trong mã nguồn mở phổ biến Exim phần mềm máy chủ email, có thể cho phép kẻ tấn công từ xa dễ dàng đánh sập hoặc có khả năng thực thi mã độc hại trên các máy chủ được nhắm mục tiêu.
Các nhà bảo trì Exim hôm nay đã phát hành một bản cập nhật bảo mật khẩn cấp—Exim phiên bản 4.92.3—sau khi đưa ra cảnh báo sớm hai ngày trước, giúp quản trị viên hệ thống biết sớm về các bản vá bảo mật sắp tới có ảnh hưởng đến tất cả các phiên bản của phần mềm máy chủ email từ 4.92 trở lên và bao gồm cả phiên bản mới nhất sau đó là 4.92.2.
Exim là một tác nhân chuyển thư nguồn mở (MTA) được sử dụng rộng rãi, được phát triển cho các hệ điều hành giống Unix như Linux, Mac OSX hoặc Solaris, chạy gần 60% máy chủ email của Internet ngày nay để định tuyến, gửi và nhận email.
Đây là lần thứ hai trong tháng này các nhà bảo trì Exim phát hành bản cập nhật bảo mật khẩn cấp. Đầu tháng này, nhóm đã vá một lỗ hổng thực thi mã từ xa nghiêm trọng (CVE-2019-15846) trong phần mềm có thể cho phép những kẻ tấn công từ xa có được quyền truy cập cấp cơ sở vào hệ thống.
Được xác định là CVE-2019-16928 và được phát hiện bởi Jeremy Harris của Nhóm phát triển Exim, lỗ hổng này là sự cố tràn bộ đệm dựa trên heap (hỏng bộ nhớ) trong string_vformat được xác định trong tệp string.c của thành phần Trình xử lý lệnh EHLO.
Lỗ hổng bảo mật có thể cho phép kẻ tấn công từ xa gây ra tình trạng từ chối dịch vụ (DoS) hoặc thực thi mã tùy ý trên máy chủ thư Exim được nhắm mục tiêu bằng cách sử dụng một dòng được chế tạo đặc biệt trong lệnh EHLO với quyền của người dùng được nhắm mục tiêu.
Theo lời khuyên của Exim, một khai thác PoC hiện được biết đến cho lỗ hổng này cho phép một người chỉ làm hỏng quy trình Exim bằng cách gửi một chuỗi dài trong lệnh EHLO, mặc dù các lệnh khác cũng có thể được sử dụng để thực thi mã tùy ý.
Nhóm các nhà phát triển Exim cho biết: “Lỗ hổng hiện được biết đến sử dụng một chuỗi EHLO dài bất thường để làm hỏng quy trình Exim đang nhận thông báo.
“Trong khi ở chế độ hoạt động này, Exim đã bỏ các đặc quyền của mình, các đường dẫn khác để tiếp cận mã dễ bị tấn công có thể tồn tại.”
Vào giữa năm, Exim cũng đã vá lỗ hổng thực thi lệnh từ xa nghiêm trọng (CVE-2019-10149) trong phần mềm email của mình, lỗ hổng này đã bị nhiều nhóm tin tặc khai thác tích cực nhằm xâm phạm các máy chủ dễ bị tấn công.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Do đó, các quản trị viên máy chủ nên cài đặt phiên bản Exim 4.92.3 mới nhất càng sớm càng tốt, vì không có biện pháp giảm thiểu nào được biết để tạm thời giải quyết vấn đề này.
Nhóm cũng cho biết: “nếu bạn không thể cài đặt các phiên bản trên, hãy yêu cầu nhà bảo trì gói của bạn cung cấp phiên bản chứa bản sửa lỗi được nhập ngược. Theo yêu cầu và tùy thuộc vào tài nguyên của chúng tôi, chúng tôi sẽ hỗ trợ bạn nhập bản sửa lỗi.”
Bản cập nhật bảo mật có sẵn cho các bản phân phối Linux, bao gồm Ubuntu, Arch Linux, FreeBSD, Debian và Fedora.
