Exim patches three of six zero-day bugs disclosed last week
2023/10/02 BleepingComputer — Exim の3件の脆弱性に対して、パッチがリリースされた。匿名のセキュリティ研究者により発見され、Trend Micro の Zero Day Initiative (ZDI) を通じて公開された脆弱性 CVE-2023-42115 は、SMTP サービスに存在する Out-of-bounds Write の欠陥が起因するものだ。この脆弱性の悪用に成功したリモートの未認証の攻撃者は、サービス・アカウントのコンテキストで、コード実行を可能にするという。
ZDI のアドバイザリには、「この脆弱性は、デフォルトで TCP ポート 25 をリッスンする、SMTP サービス内に存在する。この問題は、ユーザーから提供されるデータの、不適切な検証に起因しており、バッファ終端を越えて書き込みが行われる可能性がある」と記されている。
今日にリリースされたバージョン 4.96.1 の変更履歴において、「外部から供給された入力によりトリガーされる可能性のある、外部オーセンティケータ内の OOB 書き込みを修正した」と、Exim 開発チームは述べている。
なお、それと並行して 開発チームは、RCE の脆弱性 CVE-2023-42114 と、情報漏洩の脆弱性 CVE-2023-42116 も修正した。
金曜日の段階で Exim の開発者である Heiko Schlittermann は、「今日の修正は、すでに保護されたリポジトリで提供されており、ディストリビューションのメンテナが適用できる状態になっている」と、Open Source Security (oss-sec)のメーリングリストで明らかにした。
現時点で、未修正のゼロデイ脆弱性は以下の通りである:
- CVE-2023-42117:Exim の特殊要素の不適切な無効化によるリモートコード実行の脆弱性 (CVSS:8.1)
- CVE-2023-42118:Exim libspf2 整数アンダーフローによるリモートコード実行の脆弱性 (CVSS:7.5)
- CVE-2023-42119:Exim dnsdb の境界外読み出しによる、情報漏洩の脆弱性 (CVSS:3.1)
“世界を滅ぼす大惨事 “ではない
ZDI により 9.8 という深刻度スコアが付けられたが、それら6件のゼロデイで最も深刻な CVE-2023-42115 の悪用についても、対象となるサーバでの外部認証の使用/未使用に依存すると、Exim は指摘している。
Shodan によると 350 万台 (訳者:その後増えています) の Exim サーバーがオンラインで公開されているが、この要件に適合させると、攻撃にさらされる可能性のある Exim メールサーバの数は、大幅に減少するという。
watchTowr Labs による6件のゼロデイに関する分析では、これらのゼロデイにアクセスするためには、きわめて特殊な環境が必要なるとされ、Exim による深刻さへの見解が裏付けられている。
さらに watchTowr Labs は、脆弱性を悪用するために必要な、脆弱な Exim サーバ上の、すべての設定要件のリストを提供した:
watchTowr の研究者である Aliz Hammond は「大半の人々は、心配する必要がない。しかし、リストアップされた機能のいずれかを使用している、不運な条件に適合する場合には、ZDI のアドバイスである “アプリケーションとの対話を制限する” というアドバイスを実行する前に、より多くの情報を得たいと思うだろう。私たちのアドバイスは、パッチが利用可能になったら、出来るときにパッチを当てることだ」と述べている。
この Exim のゼロデイに関しては、2023/09/29 の「Exim メールサーバにゼロデイ CVE-2023-42115:パッチ適用までの緩和策は?」が第一報であり、不安に思った方も多いことかと思います。しかし、今日の Exim と watchTowr のコメントによると、悪用にいたる確率は低いように感じます。とは言え、深刻な脆弱性から、パッチが適用され始めていますので、それらの確認が推奨されます。
IoT OT Security News 
You must be logged in to post a comment.