Résumé

Le 27 septembre 2023, Zero Day Initiative (ZDI) a publié six avis desécurité [1] concernant des vulnérabilités de type zéro-jour affectantles versions antérieures à 4.96.1 ou 4.97 de l'agent de transfert decourriels (Mail Transfer Agent ou MTA) Exim. Le 1er octobre 2023,l'éditeur a publié un avis de sécurité [2] contenant les détails dessix vulnérabilités découvertes par ZDI.

L'éditeur annonce dans son bulletin du 1er octobre 2023 lacorrection, dans les versions 4.96.1 et 4.97 d'Exim, de troisvulnérabilités affectant la gestion de l'authentification :

• Les vulnérabilités identifiées CVE-2023-42114 et CVE-2023-42116ayant respectivement un score CVSSv3 de 3.7 et 8.1 sont présentesdans le sous-système SPA/NTLM. Ce dernier introduit une faiblessedans la validation des entrées utilisateurs lors du traitement desdemandes de défis (challenges) NTLM. Un attaquant distant est enmesure de provoquer une atteinte à la confidentialité des données etune exécution de code arbitraire ;
• La vulnérabilité CVE-2023-42115, avec un score CVSSv3 de 9.8, estliée à l'implémentation du mécanisme EXTERNAL de la couched'authentification et de sécurité simple (Simple Authentication andSecurity Layer ou SASL). Un manque de validation des donnéesfournies par l'utilisateur permet à un attaquant distant de tenterune exécution de code arbitraire.

Cependant, à la date de publication initiale de cette alerte, l'éditeurne propose pas de correctif pour les trois vulnérabilités suivantes :

• La vulnérabilité CVE-2023-42117 ayant un score CVSSv3 de 8.1 estliée à la gestion du protocole PROXY. Un manque de validation desdonnées soumises par l'utilisateur peut permettre à un attaquantdistant de compromettre l'intégrité des données en mémoire et detenter une exécution de code arbitraire.
• La vulnérabilité identifiée CVE-2023-42118 a un score CVSSv3 de7.5. Un attaquant adjacent au réseau peut tenter une exécution decode arbitraire vers les versions affectées de la bibliothèquelibspf2 incluse dans Exim.
• Enfin, la vulnérabilité dont le numéro d'identification estCVE-2023-42119 est référencée avec un score CVSSv3 de 3.1. Elleest introduite par le sous-système de recherches DNS : un manque devalidation des données fournies par l'utilisateur peut entraîner unelecture au-delà du tampon alloué. Un attaquant adjacent au réseaupeut alors, en conjonction avec d'autres vulnérabilités, tenter uneexécution de code arbitraire dans le contexte du compte de service.