Kerentanan Eksekusi Kode Kritis Telah Ditemukan Di Exim

Kerentanan Eksekusi Kode Kritis Telah Ditemukan Di Exim - Exim adalah agen transfer surat (MTA) yang digunakan pada sistem operasi mirip-Unix. Exim adalah perangkat lunak bebas yang didistribusikan sesuai dengan persyaratan Lisensi Publik Umum GNU, dan ini bertujuan untuk menjadi mailer umum dan fleksibel dengan fasilitas yang luas untuk memeriksa e-mail masuk.

Seorang peneliti keamanan dari perusahaan keamanan yang berbasis di Taiwan DEVCORE telah menemukan bahwa Exim rentan terhadap beberapa kemungkinan kelemahan serius.



Menurut laporan yang dipublikasikan di bug tracker, kerentanan pertama yang dilacak sebagai CVE-2017-16943 dan tergolong kritis, adalah bug berbasis penggunaan yang terkait dengan fitur yang disebut "chunking.", Yang memungkinkan penyerang jarak jauh Jalankan kode sembarang di server SMTP dengan menyusun urutan perintah BDAT.

Chunking adalah fitur yang memungkinkan pengiriman email dalam potongan. Perintah BDAT menentukan panjang paket data biner sehingga host Simple Mail Transfer Protocol (SMTP) tidak harus terus mencari akhir data.

Kerentanan kedua yang ditemukan oleh peneliti adalah CVE-2017-16944, yang merupakan masalah tingkat tinggi yang memungkinkan penyerang jarak jauh menyebabkan kondisi DoS menggunakan perintah BDAT yang dibuat secara khusus.

Rincian cacat eksekusi kode dipublikasikan di Exim Bugzilla pada tanggal 23 November. Administrator sistem dianjurkan untuk mengupdate install mereka ke versi Exim 4.90 ASAP untuk patch kerentanan ini.