ثغرات خطيرة في Exim تهدد أكثر من 250 ألف خادم بريد إلكتروني حول العالم
ثغرات خطيرة في Exim تهدد أكثر من 250 ألف خادم بريد إلكتروني حول العالم
تكبير
جيتي
الصور
الشكل><ص>
الآلاف
ل
الخوادم
جري
ال
إكسيم
بريد إلكتروني
تحويل
عامل
نكون
مُعَرَّض
الى
محتمل
الهجمات
ان
يستغل
شديد الأهمية
نقاط الضعف،
السماح
بعيد
تنفيذ
ل
ضارة
مشفرة
مع
ضغير
أو
لا
مستخدم
التفاعل.
<ص>
ال
نقاط الضعف
كان
ذكرت
على
الأربعاء
بواسطة
صفر
يوم
مبادرة،
لكن
هم
إلى حد كبير
هرب
يلاحظ
حتى
جمعة
متى
هم
ظهرت
في
أ
حماية
بريد إلكتروني
قائمة.
أربعة
ل
ال
ستة
الحشرات
يسمح
ل
بعيد
مشفرة
تنفيذ
و
ليحمل
جاذبية
ملحوظات
ل
7.5
الى
9.8
خارج
ل
أ
ممكن
عشرة.
إكسيم
قال
هو
الى
يفعل
إصلاحات
ل
ثلاثة
ل
ال
نقاط الضعف
متاح
في
أ
خاص
مخزن.
ال
حالة
ل
إصلاحات
ل
ال
متبقي
ثلاثة
نقاط الضعف: اثنان
ل
أيّ
يسمح
ل
RCE — هي
مجهول.
إكسيم
شرق
أ
يفتح
مصدر
بريد إلكتروني
تحويل
عامل
ان
شرق
مستخدم
بواسطة
مثل
كثيراً
مثل
253000
الخوادم
على
ال
الإنترنت.
"متهاون
معالجة"
على
الاثنين
الجانبين
<ص>
ZDI
متاح
لا
إشارة
ان
إكسيم
الى
نشرت
إصلاحات
ل
أي كان
ل
ال
نقاط الضعف،
و
الى
ال
وقت
هذا
وظيفة
ذهب
مباشر
على
آرس،
ال
إكسيم
موقع إلكتروني
يفعل
لا
يذكر
ل
أي كان
ل
ال
نقاط الضعف
أو
إصلاحات.
على
ال
OSS ثانية
بريد إلكتروني
قائمة
على
جمعة،
أ
إكسيم
مشروع
مجهز
عضو
قال
ان
إصلاحات
ل
اثنين
ل
ال
معظم
خطير
نقاط الضعف
و
أ
ثالث،
أقل
خطير
أ
نكون
متاح
في
أ
"محمي
مخزن
و
نكون
مستعد
الى
يكون
مُطبَّق
بواسطة
ال
توزيع
مسؤول. »
<ص>
هناك
كان
لا
أكثر
تفاصيل
عن
ال
إصلاحات،
على وجه التحديد
كيف
المسؤولين
يحصل
هم،
أو
لو
هناك
نكون
التخفيف
متاح
ل
أولئك
من
لا يمكن
رقعة
مستقيم
بعيد.
إكسيم
مشروع
مجهز
أعضاء
ليس
إجابة
الى
أ
بريد إلكتروني
بسأل
ل
إضافي
المعلومات.
<ص>
ال
معظم
خطير
ل
ال
نقاط الضعف،
متابعة
مثل
CVE-2023-42115،
شرق
ضمن
أولئك
ان
ال
إكسيم
مجهز
عضو
قال
يمتلك
كان
مرمم.
ZDI
يصف
هو
مثل
أ
خارج الحدود
تقصير
في
أ
إكسيم
عنصر
ان
مقابض
المصادقة.
<ص>
"هذا
هشاشة
يسمح
بعيد
المهاجمين
الى
ينفذ
اِعتِباطِيّ
مشفرة
على
متأثر
منشأة
ل
إكسيم، »
الاربعاء
استشاري
أعلن.
"المصادقة
شرق
لا
مطلوب
الى
يستغل
هذا
هشاشة. »
<ص>
آخر
مرمم
هشاشة،
متابعة
مثل
CVE-2023-42116،
شرق
أ
على أساس المكدس
تجاوز
في
ال
إكسيم
تحدي
عنصر.
إنها
جاذبية
تقييم
شرق
8.1
و
أيضا
يسمح
ل
آر سي إي.
<ص>
"ال
محدد
تقصير
يخرج
في
ال
معالجة
ل
NTLM
تحدي
الطلبات"،
ZDI
قال.
"ال
مشكلة
نتائج
منذ
ال
عدم وجود
ل
ملائم
تصديق
ل
ال
طول
ل
المقدمة من قبل المستخدم
بيانات
قبل
الى
لنسخ
هو
الى
أ
طول ثابت
على أساس المكدس
متعادل.
أ
مهاجم
يمكن
تَأثِير
هذا
هشاشة
الى
ينفذ
مشفرة
في
ال
سياق
ل
ال
خدمة
الحساب."
<ص>
ال
ثالث
مُثَبَّت
هشاشة
شرق
متابعة
مثل
CVE-2023-42114,
أيّ
يسمح
ل
إفشاء
ل
حساس
معلومة.
هو
باب
أ
تقييم
ل
3.7.
<ص>
قليلة
المراجعات
يمتلك
مُسَمًّى
خارج
ال
إكسيم
مشروع
ل
لا
بشفافية
الكشف عن
ال
نقاط الضعف.
يضيف
أكثر
وقود
الى
ال
مراجعات,
ال
ZDI
الإفصاحات
متاح
أ
التسلسل الزمني
ان
ذُكر
شركة
مندوب
أخطرت
إكسيم
مشروع
أعضاء
ل
ال
نقاط الضعف
في
يونيو
2022.
أ
مقبض
ل
ذهاب و إياب
التفاعلات
حصل
على
ال
مكبر الصوت
شهر
حتى
ZDI
كشف
هم
الأربعاء.
<ص>
في
أ
وظيفة
على
جمعة
الى
ال
OSS ثانية
بريد إلكتروني
قائمة،
إكسيم
مشروع
مجهز
عضو
هيكو
شليترمان
قال
ان
بعد
يستلم
ال
خاص
ZDI
تقرير
في
يونيو
2022,
مجهز
أعضاء
طلب
ل
إضافي
تفاصيل
"لكن
ليس
يحصل
إجابات
نحن
كان
قادر
الى
عمل
مع."
ال
التالي
اتصال
ليس
ينتج
حتى
يمكن
2023.
"مستقيم
بعد
هذا
اتصال
نحن
مخلوق
مشروع
حشرة
تعقب
ل
3
ل
ال
6
مشاكل،"
شليترمان
قال.
"ال
متبقي
مشاكل
نكون
مشكوك فيه
أو
يفتقد
معلومة
نحن
يحتاج
الى
يصلح
هم. »
<ص>
قليلة
الناس
مشارك
في
ال
مناقشة
شديد الأهمية
الاثنين
الجوانب.
<ص>
"هذا
تبدو
مثل
متهاون
معالجة
ل
هؤلاء
مشاكل
لذا
بعيد
بواسطة
الاثنين
ZDI
و
إكسيم-ني
مجهز
بينغ
ال
آخر
ل
عشرة
شهر،
ثم
إكسيم
قابس كهرباء
4
شهر
الى
يصلح
حتى
ال
2
درجة عالية
مشاكل
هو
فعل
يمتلك
كافٍ
معلومات
على،"
ال
مميز
حماية
باحث
معروف
مثل
شمسي
يعين
تكبير
جيتي
الصور
الشكل><ص>
الآلاف
ل
الخوادم
جري
ال
إكسيم
بريد إلكتروني
تحويل
عامل
نكون
مُعَرَّض
الى
محتمل
الهجمات
ان
يستغل
شديد الأهمية
نقاط الضعف،
السماح
بعيد
تنفيذ
ل
ضارة
مشفرة
مع
ضغير
أو
لا
مستخدم
التفاعل.
<ص>
ال
نقاط الضعف
كان
ذكرت
على
الأربعاء
بواسطة
صفر
يوم
مبادرة،
لكن
هم
إلى حد كبير
هرب
يلاحظ
حتى
جمعة
متى
هم
ظهرت
في
أ
حماية
بريد إلكتروني
قائمة.
أربعة
ل
ال
ستة
الحشرات
يسمح
ل
بعيد
مشفرة
تنفيذ
و
ليحمل
جاذبية
ملحوظات
ل
7.5
الى
9.8
خارج
ل
أ
ممكن
عشرة.
إكسيم
قال
هو
الى
يفعل
إصلاحات
ل
ثلاثة
ل
ال
نقاط الضعف
متاح
في
أ
خاص
مخزن.
ال
حالة
ل
إصلاحات
ل
ال
متبقي
ثلاثة
نقاط الضعف: اثنان
ل
أيّ
يسمح
ل
RCE — هي
مجهول.
إكسيم
شرق
أ
يفتح
مصدر
بريد إلكتروني
تحويل
عامل
ان
شرق
مستخدم
بواسطة
مثل
كثيراً
مثل
253000
الخوادم
على
ال
الإنترنت.
"متهاون
معالجة"
على
الاثنين
الجانبين
<ص>
ZDI
متاح
لا
إشارة
ان
إكسيم
الى
نشرت
إصلاحات
ل
أي كان
ل
ال
نقاط الضعف،
و
الى
ال
وقت
هذا
وظيفة
ذهب
مباشر
على
آرس،
ال
إكسيم
موقع إلكتروني
يفعل
لا
يذكر
ل
أي كان
ل
ال
نقاط الضعف
أو
إصلاحات.
على
ال
OSS ثانية
بريد إلكتروني
قائمة
على
جمعة،
أ
إكسيم
مشروع
مجهز
عضو
قال
ان
إصلاحات
ل
اثنين
ل
ال
معظم
خطير
نقاط الضعف
و
أ
ثالث،
أقل
خطير
أ
نكون
متاح
في
أ
"محمي
مخزن
و
نكون
مستعد
الى
يكون
مُطبَّق
بواسطة
ال
توزيع
مسؤول. »
<ص>
هناك
كان
لا
أكثر
تفاصيل
عن
ال
إصلاحات،
على وجه التحديد
كيف
المسؤولين
يحصل
هم،
أو
لو
هناك
نكون
التخفيف
متاح
ل
أولئك
من
لا يمكن
رقعة
مستقيم
بعيد.
إكسيم
مشروع
مجهز
أعضاء
ليس
إجابة
الى
أ
بريد إلكتروني
بسأل
ل
إضافي
المعلومات.
<ص>
ال
معظم
خطير
ل
ال
نقاط الضعف،
متابعة
مثل
CVE-2023-42115،
شرق
ضمن
أولئك
ان
ال
إكسيم
مجهز
عضو
قال
يمتلك
كان
مرمم.
ZDI
يصف
هو
مثل
أ
خارج الحدود
تقصير
في
أ
إكسيم
عنصر
ان
مقابض
المصادقة.
<ص>
"هذا
هشاشة
يسمح
بعيد
المهاجمين
الى
ينفذ
اِعتِباطِيّ
مشفرة
على
متأثر
منشأة
ل
إكسيم، »
الاربعاء
استشاري
أعلن.
"المصادقة
شرق
لا
مطلوب
الى
يستغل
هذا
هشاشة. »
<ص>
آخر
مرمم
هشاشة،
متابعة
مثل
CVE-2023-42116،
شرق
أ
على أساس المكدس
تجاوز
في
ال
إكسيم
تحدي
عنصر.
إنها
جاذبية
تقييم
شرق
8.1
و
أيضا
يسمح
ل
آر سي إي.
<ص>
"ال
محدد
تقصير
يخرج
في
ال
معالجة
ل
NTLM
تحدي
الطلبات"،
ZDI
قال.
"ال
مشكلة
نتائج
منذ
ال
عدم وجود
ل
ملائم
تصديق
ل
ال
طول
ل
المقدمة من قبل المستخدم
بيانات
قبل
الى
لنسخ
هو
الى
أ
طول ثابت
على أساس المكدس
متعادل.
أ
مهاجم
يمكن
تَأثِير
هذا
هشاشة
الى
ينفذ
مشفرة
في
ال
سياق
ل
ال
خدمة
الحساب."
<ص>
ال
ثالث
مُثَبَّت
هشاشة
شرق
متابعة
مثل
CVE-2023-42114,
أيّ
يسمح
ل
إفشاء
ل
حساس
معلومة.
هو
باب
أ
تقييم
ل
3.7.
<ص>
قليلة
المراجعات
يمتلك
مُسَمًّى
خارج
ال
إكسيم
مشروع
ل
لا
بشفافية
الكشف عن
ال
نقاط الضعف.
يضيف
أكثر
وقود
الى
ال
مراجعات,
ال
ZDI
الإفصاحات
متاح
أ
التسلسل الزمني
ان
ذُكر
شركة
مندوب
أخطرت
إكسيم
مشروع
أعضاء
ل
ال
نقاط الضعف
في
يونيو
2022.
أ
مقبض
ل
ذهاب و إياب
التفاعلات
حصل
على
ال
مكبر الصوت
شهر
حتى
ZDI
كشف
هم
الأربعاء.
<ص>
في
أ
وظيفة
على
جمعة
الى
ال
OSS ثانية
بريد إلكتروني
قائمة،
إكسيم
مشروع
مجهز
عضو
هيكو
شليترمان
قال
ان
بعد
يستلم
ال
خاص
ZDI
تقرير
في
يونيو
2022,
مجهز
أعضاء
طلب
ل
إضافي
تفاصيل
"لكن
ليس
يحصل
إجابات
نحن
كان
قادر
الى
عمل
مع."
ال
التالي
اتصال
ليس
ينتج
حتى
يمكن
2023.
"مستقيم
بعد
هذا
اتصال
نحن
مخلوق
مشروع
حشرة
تعقب
ل
3
ل
ال
6
مشاكل،"
شليترمان
قال.
"ال
متبقي
مشاكل
نكون
مشكوك فيه
أو
يفتقد
معلومة
نحن
يحتاج
الى
يصلح
هم. »
<ص>
قليلة
الناس
مشارك
في
ال
مناقشة
شديد الأهمية
الاثنين
الجوانب.
<ص>
"هذا
تبدو
مثل
متهاون
معالجة
ل
هؤلاء
مشاكل
لذا
بعيد
بواسطة
الاثنين
ZDI
و
إكسيم-ني
مجهز
بينغ
ال
آخر
ل
عشرة
شهر،
ثم
إكسيم
قابس كهرباء
4
شهر
الى
يصلح
حتى
ال
2
درجة عالية
مشاكل
هو
فعل
يمتلك
كافٍ
معلومات
على،"
ال
مميز
حماية
باحث
معروف
مثل
شمسي
يعين