Krytyczna podatność w popularnym serwerze pocztowym Exim. Unauth RCE

Projekt ZDI zgłosił podatność w połowie 2022 roku (CVE-2023-42115, CVSS 9.8/10), ale developerzy Exima do tej pory nie przygotowali łatki. Zatem informacja o luce została właśnie ujawniona:

Luka ta umożliwia zdalnym atakującym wykonanie dowolnego kodu w podatnych instalacjach Exima. Aby wykorzystać tę lukę, nie jest wymagane uwierzytelnianie. Podatność występuje w usłudze smtp, która domyślnie nasłuchuje na porcie TCP 25. (…)

This vulnerability allows remote attackers to execute arbitrary code on affected installations of Exim. Authentication is not required to exploit this vulnerability.

The specific flaw exists within the smtp service, which listens on TCP port 25 by default. The issue results from the lack of proper validation of user-supplied data, which can result in a write past the end of a buffer. An attacker can leverage this vulnerability to execute code in the context of the service account.

Światełkiem w tunelu może być fragment oznaczony boldem:

allows remote attackers to execute arbitrary code on affected installations of Exim

może to oznaczać, że podatność nie występuje domyślnie we wszystkich instalacjach.

Warto też zaznaczyć, że to nie jedyna podatność w Eximie, która jest jeszcze „w trakcie przygotowywania łatki”

~ms