Exim Internet Mailer pre-authentication remote code execution

Advisory: CERT.be Advisory #2018-005
Versie: 1.0
Geïmpacteerde software: Exim Internet Mailer
Type: Remote Code Execution (RCE), Denial-of-Service (DoS)

Referentie

https://devco.re/blog/2018/03/06/exim-off-by-one-RCE-exploiting-CVE-2018...
Fixed version: Exim v4.90.1

Risico

De kwetsbaarheid CVE-2018-6789 werd gecatalogeerd onder de “pre-authentication remote code execution” categorie. Dit betekent dat een niet-geauthenticeerde kwaadwillende de Exim mailserver kan misbruiken om externe code uit te voeren aan de hand van een specifieke boodschap.
De kwetsbaarheid geeft de mogelijkheid aan een kwaadwillende om externe code vanop afstand uit te voeren (RCE), en mogelijks een Denial-of-Service (DoS) te veroorzaken.

Samenvatting

Exim is een open source mail transfer agent (MTA) voor Unix-achtige besturingssystemen zoals Linux, Mac OS X of Solaris, die verantwoordelijk is voor het routeren, leveren en ontvangen van e-mailberichten.
De kwetsbaarheid is te wijten aan een one byte heap overflow (off-by-one) in de base64 decoding functie. De inhoud van de kwetsbare byte kan aangepast worden door het toewijzen van een string met een specifieke lengte, waardoor kritische data overschreven wordt.

Aanbevolen acties

Cert.be raadt systeembeheerders aan om zo snel mogelijk Exim te updaten naar versie 4.90.1. (of hoger)