Exim est un agent de transfert de courrier électronique pour les systèmes UNIX. Deux vulnérabilités potentiellement critiques ont été identifiées sur la solution :
- La première, référencée par la CVE-2017-16943, est un bug critique de type "use after free". Cette vulnérabilité permet à un attaquant d’exécuter à distance du code ou d’induire un déni de service en utilisant des commandes BDAT spécifiquement fabriquées.
- La deuxième faille est référencée CVE-2017-16944 et permet à un attaquant de provoquer un déni de service à distance en utilisant des commandes BDAT spécifiquement fabriquées.
Il est recommandé d’appliquer le patch de sécurité disponible sur le serveur git de l'éditeur.
Informations
+
Impact
- Exécution de code à distance
Criticité
- CVSS v3
Existence d’un code d’exploitation de la vulnérabilité
Aucun code d’exploitation n’est disponible. Une preuve de concept est disponible sur le lien : https://bugs.exim.org/show_bug.cgi?id=2199
Composants & versions vulnérables
- Exim version 4.88 et 4.89
CVE
- CVE-2017-16943
- CVE-2017-16944
Recommandations
+
Correctifs
Un patch de sécurité est disponible sur le serveur git de l'éditeur depuis le lien : https://git.exim.org/exim.git/commitdiff/4e6ae6235c68de243b1c2419027472…
Solution de contournement
Il n’existe pas actuellement de solution de contournement.
Liens
+