Exim 中的严重漏洞威胁着全球超过 250,000 个电子邮件服务器
放大
盖蒂
图片
数千
的
服务员
跑步
这
进出口银行
电子邮件
转移
代理人
是
易受伤害的
有
潜在的
攻击
那
开发
批判的
漏洞,
允许
偏僻的
执行
的
恶意的
编码的
和
小的
或者
不
用户
互动。
这
漏洞
是
报道
在
周三
经过
零
天
倡议,
但
他们
大部分
逃脱了
注意
直到
星期五
什么时候
他们
浮出水面
在
A
安全
电子邮件
列表。
四
的
这
六
昆虫
允许
为了
偏僻的
编码的
执行
和
携带
重力
笔记
的
7.5
有
9.8
出去
的
A
可能的
十。
进出口银行
说
他
有
做
修复
为了
三
的
这
漏洞
可用的
在
A
私人的
订金。
这
地位
的
修复
为了
这
其余的
三
漏洞:两个
的
哪个
允许
为了
RCE——是
未知。
进出口银行
东方
A
打开
来源
电子邮件
转移
代理人
那
东方
用过的
经过
作为
很多
作为
253,000
服务员
在
这
互联网。
“疏忽
处理”
在
两个都
侧面
ZDI
假如
不
指示
那
进出口银行
有
发表
修复
为了
任何一位
的
这
漏洞,
和
有
这
时间
这
工作
去
居住
在
阿尔斯,
这
进出口银行
网站
做
不
提到
的
任何一位
的
这
漏洞
或者
修复。
在
这
OSS-Sec
电子邮件
列表
在
星期五,
A
进出口银行
项目
团队
成员
说
那
修复
为了
二
的
这
最多
严重
漏洞
和
A
第三,
较少的
严重
A
是
可用的
在
A
“受保护的
订金
和
是
准备好
有
是
应用
经过
这
分配
负责任的。 »
那里
是
不
更多的
细节
关于
这
修复,
恰恰
如何
管理员
得到
他们,
或者
如果
那里
是
缓解措施
可用的
为了
那些
WHO
不能
修补
正确的
远的。
进出口银行
项目
团队
会员
不
回答
有
A
电子邮件
问
为了
额外的
信息。
这
最多
严重
的
这
漏洞,
跟进
作为
CVE-2023-42115,
东方
之中
那些
那
这
进出口银行
团队
成员
说
具有
已经
已修补。
ZDI
描述
他
作为
A
禁区
默认
在
A
进出口银行
成分
那
把手
身份验证。
“这
脆弱性
允许
偏僻的
攻击者
有
执行
随意的
编码的
在
做作的
设施
的
进出口, »
周三
咨询
宣布。
“验证
东方
不是
必需的
有
开发
这
脆弱性。 »
其他
修补过的
脆弱性,
跟进
作为
CVE-2023-42116,
东方
A
基于堆栈
溢出
在
这
进出口银行
挑战
成分。
这是
重力
评分
东方
8.1
和
还
允许
为了
RCE。
“这
具体的
默认
存在
在
这
处理
的
NTLM
挑战
要求”,
ZDI
说。
“这
问题
结果
自从
这
缺少
的
合适的
验证
的
这
长度
的
用户提供的
数据
前
有
复制
他
有
A
固定长度
基于堆栈
缓冲。
A
攻击者
能
杠杆作用
这
脆弱性
有
执行
编码的
在
这
语境
的
这
服务
帐户。”
这
第三
固定的
脆弱性
东方
跟进
作为
CVE-2023-42114,
哪个
允许
为了
披露
的
敏感的
信息。
他
门
A
评分
的
3.7.
一些
评论
具有
被称为
出去
这
进出口银行
项目
为了
不是
透明地
透露
这
漏洞。
添加
更多的
燃料
有
这
评论,
这
ZDI
披露
假如
A
年表
那
著名的
商业
代表
已通知
进出口银行
项目
会员
的
这
漏洞
在
六月
2022 年。
A
处理
的
来回
互动
发生
在
这
扬声器
月
直到
ZDI
披露的
他们
周三。
在
A
工作
在
星期五
有
这
OSS-Sec
电子邮件
列表,
进出口银行
项目
团队
成员
平子
施利特曼
说
那
后
收到
这
私人的
ZDI
报告
在
六月
2022年,
团队
会员
要求
为了
额外的
细节
“但
不
得到
答案
我们
是
有能力的
有
工作
和。”
这
下列的
接触
不
发生
直到
能
2023 年。
“正确的
后
这
接触
我们
已创建
项目
漏洞
追踪器
为了
3
的
这
6
问题,”
施利特曼
说。
“这
其余的
问题
是
可疑的
或者
错过
信息
我们
需要
有
使固定
他们。 »
一些
人们
参与者
在
这
讨论
批判的
两个都
双方。
“这
看起来
作为
疏忽的
处理
的
这些
问题
所以
远的
经过
两个都
ZDI
和
进出口—ni
团队
平
这
其他
为了
十
月,
所以
进出口银行
插座
4
月
有
使固定
甚至
这
2
高分
问题
他
做过
具有
充足的
信息
在,”
这
杰出的
安全
搜索者
已知的
作为
太阳的
指定
放大
盖蒂
图片
数千 的 服务员 跑步 这 进出口银行 电子邮件 转移 代理人 是 易受伤害的 有 潜在的 攻击 那 开发 批判的 漏洞, 允许 偏僻的 执行 的 恶意的 编码的 和 小的 或者 不 用户 互动。
这 漏洞 是 报道 在 周三 经过 零 天 倡议, 但 他们 大部分 逃脱了 注意 直到 星期五 什么时候 他们 浮出水面 在 A 安全 电子邮件 列表。 四 的 这 六 昆虫 允许 为了 偏僻的 编码的 执行 和 携带 重力 笔记 的 7.5 有 9.8 出去 的 A 可能的 十。 进出口银行 说 他 有 做 修复 为了 三 的 这 漏洞 可用的 在 A 私人的 订金。 这 地位 的 修复 为了 这 其余的 三 漏洞:两个 的 哪个 允许 为了 RCE——是 未知。 进出口银行 东方 A 打开 来源 电子邮件 转移 代理人 那 东方 用过的 经过 作为 很多 作为 253,000 服务员 在 这 互联网。
“疏忽 处理” 在 两个都 侧面ZDI 假如 不 指示 那 进出口银行 有 发表 修复 为了 任何一位 的 这 漏洞, 和 有 这 时间 这 工作 去 居住 在 阿尔斯, 这 进出口银行 网站 做 不 提到 的 任何一位 的 这 漏洞 或者 修复。 在 这 OSS-Sec 电子邮件 列表 在 星期五, A 进出口银行 项目 团队 成员 说 那 修复 为了 二 的 这 最多 严重 漏洞 和 A 第三, 较少的 严重 A 是 可用的 在 A “受保护的 订金 和 是 准备好 有 是 应用 经过 这 分配 负责任的。 »
那里 是 不 更多的 细节 关于 这 修复, 恰恰 如何 管理员 得到 他们, 或者 如果 那里 是 缓解措施 可用的 为了 那些 WHO 不能 修补 正确的 远的。 进出口银行 项目 团队 会员 不 回答 有 A 电子邮件 问 为了 额外的 信息。
这 最多 严重 的 这 漏洞, 跟进 作为 CVE-2023-42115, 东方 之中 那些 那 这 进出口银行 团队 成员 说 具有 已经 已修补。 ZDI 描述 他 作为 A 禁区 默认 在 A 进出口银行 成分 那 把手 身份验证。
“这 脆弱性 允许 偏僻的 攻击者 有 执行 随意的 编码的 在 做作的 设施 的 进出口, » 周三 咨询 宣布。 “验证 东方 不是 必需的 有 开发 这 脆弱性。 »
其他 修补过的 脆弱性, 跟进 作为 CVE-2023-42116, 东方 A 基于堆栈 溢出 在 这 进出口银行 挑战 成分。 这是 重力 评分 东方 8.1 和 还 允许 为了 RCE。
“这 具体的 默认 存在 在 这 处理 的 NTLM 挑战 要求”, ZDI 说。 “这 问题 结果 自从 这 缺少 的 合适的 验证 的 这 长度 的 用户提供的 数据 前 有 复制 他 有 A 固定长度 基于堆栈 缓冲。 A 攻击者 能 杠杆作用 这 脆弱性 有 执行 编码的 在 这 语境 的 这 服务 帐户。”
这 第三 固定的 脆弱性 东方 跟进 作为 CVE-2023-42114, 哪个 允许 为了 披露 的 敏感的 信息。 他 门 A 评分 的 3.7.
一些 评论 具有 被称为 出去 这 进出口银行 项目 为了 不是 透明地 透露 这 漏洞。 添加 更多的 燃料 有 这 评论, 这 ZDI 披露 假如 A 年表 那 著名的 商业 代表 已通知 进出口银行 项目 会员 的 这 漏洞 在 六月 2022 年。 A 处理 的 来回 互动 发生 在 这 扬声器 月 直到 ZDI 披露的 他们 周三。
在 A 工作 在 星期五 有 这 OSS-Sec 电子邮件 列表, 进出口银行 项目 团队 成员 平子 施利特曼 说 那 后 收到 这 私人的 ZDI 报告 在 六月 2022年, 团队 会员 要求 为了 额外的 细节 “但 不 得到 答案 我们 是 有能力的 有 工作 和。” 这 下列的 接触 不 发生 直到 能 2023 年。 “正确的 后 这 接触 我们 已创建 项目 漏洞 追踪器 为了 3 的 这 6 问题,” 施利特曼 说。 “这 其余的 问题 是 可疑的 或者 错过 信息 我们 需要 有 使固定 他们。 »
一些 人们 参与者 在 这 讨论 批判的 两个都 双方。
“这 看起来 作为 疏忽的 处理 的 这些 问题 所以 远的 经过 两个都 ZDI 和 进出口—ni 团队 平 这 其他 为了 十 月, 所以 进出口银行 插座 4 月 有 使固定 甚至 这 2 高分 问题 他 做过 具有 充足的 信息 在,” 这 杰出的 安全 搜索者 已知的 作为 太阳的 指定
放大
盖蒂
图片
数千 的 服务员 跑步 这 进出口银行 电子邮件 转移 代理人 是 易受伤害的 有 潜在的 攻击 那 开发 批判的 漏洞, 允许 偏僻的 执行 的 恶意的 编码的 和 小的 或者 不 用户 互动。
这 漏洞 是 报道 在 周三 经过 零 天 倡议, 但 他们 大部分 逃脱了 注意 直到 星期五 什么时候 他们 浮出水面 在 A 安全 电子邮件 列表。 四 的 这 六 昆虫 允许 为了 偏僻的 编码的 执行 和 携带 重力 笔记 的 7.5 有 9.8 出去 的 A 可能的 十。 进出口银行 说 他 有 做 修复 为了 三 的 这 漏洞 可用的 在 A 私人的 订金。 这 地位 的 修复 为了 这 其余的 三 漏洞:两个 的 哪个 允许 为了 RCE——是 未知。 进出口银行 东方 A 打开 来源 电子邮件 转移 代理人 那 东方 用过的 经过 作为 很多 作为 253,000 服务员 在 这 互联网。
“疏忽 处理” 在 两个都 侧面ZDI 假如 不 指示 那 进出口银行 有 发表 修复 为了 任何一位 的 这 漏洞, 和 有 这 时间 这 工作 去 居住 在 阿尔斯, 这 进出口银行 网站 做 不 提到 的 任何一位 的 这 漏洞 或者 修复。 在 这 OSS-Sec 电子邮件 列表 在 星期五, A 进出口银行 项目 团队 成员 说 那 修复 为了 二 的 这 最多 严重 漏洞 和 A 第三, 较少的 严重 A 是 可用的 在 A “受保护的 订金 和 是 准备好 有 是 应用 经过 这 分配 负责任的。 »
那里 是 不 更多的 细节 关于 这 修复, 恰恰 如何 管理员 得到 他们, 或者 如果 那里 是 缓解措施 可用的 为了 那些 WHO 不能 修补 正确的 远的。 进出口银行 项目 团队 会员 不 回答 有 A 电子邮件 问 为了 额外的 信息。
这 最多 严重 的 这 漏洞, 跟进 作为 CVE-2023-42115, 东方 之中 那些 那 这 进出口银行 团队 成员 说 具有 已经 已修补。 ZDI 描述 他 作为 A 禁区 默认 在 A 进出口银行 成分 那 把手 身份验证。
“这 脆弱性 允许 偏僻的 攻击者 有 执行 随意的 编码的 在 做作的 设施 的 进出口, » 周三 咨询 宣布。 “验证 东方 不是 必需的 有 开发 这 脆弱性。 »
其他 修补过的 脆弱性, 跟进 作为 CVE-2023-42116, 东方 A 基于堆栈 溢出 在 这 进出口银行 挑战 成分。 这是 重力 评分 东方 8.1 和 还 允许 为了 RCE。
“这 具体的 默认 存在 在 这 处理 的 NTLM 挑战 要求”, ZDI 说。 “这 问题 结果 自从 这 缺少 的 合适的 验证 的 这 长度 的 用户提供的 数据 前 有 复制 他 有 A 固定长度 基于堆栈 缓冲。 A 攻击者 能 杠杆作用 这 脆弱性 有 执行 编码的 在 这 语境 的 这 服务 帐户。”
这 第三 固定的 脆弱性 东方 跟进 作为 CVE-2023-42114, 哪个 允许 为了 披露 的 敏感的 信息。 他 门 A 评分 的 3.7.
一些 评论 具有 被称为 出去 这 进出口银行 项目 为了 不是 透明地 透露 这 漏洞。 添加 更多的 燃料 有 这 评论, 这 ZDI 披露 假如 A 年表 那 著名的 商业 代表 已通知 进出口银行 项目 会员 的 这 漏洞 在 六月 2022 年。 A 处理 的 来回 互动 发生 在 这 扬声器 月 直到 ZDI 披露的 他们 周三。
在 A 工作 在 星期五 有 这 OSS-Sec 电子邮件 列表, 进出口银行 项目 团队 成员 平子 施利特曼 说 那 后 收到 这 私人的 ZDI 报告 在 六月 2022年, 团队 会员 要求 为了 额外的 细节 “但 不 得到 答案 我们 是 有能力的 有 工作 和。” 这 下列的 接触 不 发生 直到 能 2023 年。 “正确的 后 这 接触 我们 已创建 项目 漏洞 追踪器 为了 3 的 这 6 问题,” 施利特曼 说。 “这 其余的 问题 是 可疑的 或者 错过 信息 我们 需要 有 使固定 他们。 »
一些 人们 参与者 在 这 讨论 批判的 两个都 双方。
“这 看起来 作为 疏忽的 处理 的 这些 问题 所以 远的 经过 两个都 ZDI 和 进出口—ni 团队 平 这 其他 为了 十 月, 所以 进出口银行 插座 4 月 有 使固定 甚至 这 2 高分 问题 他 做过 具有 充足的 信息 在,” 这 杰出的 安全 搜索者 已知的 作为 太阳的 指定
What's Your Reaction?
