Обнаружены критические уязвимости в агенте доставки электронной почты Exim, широко используемом программном обеспечении с открытым исходным кодом. Эти уязвимости, о которых первоначально сообщила инициатива Zero Day Initiative (ZDI), могут позволить удаленное выполнение кода при минимальном взаимодействии с пользователем.
Из шести выявленных ошибок четыре допускают удаленное выполнение кода, а степень их серьезности варьируется от 7,5 до 9,8 из 10. Exim используется примерно на 253 000 серверов в Интернете.
Хотя исправления для трех уязвимостей доступны в закрытом репозитории, неизвестно, когда будут выпущены исправления для оставшихся трех. Действия компании Exim в отношении этих уязвимостей вызвали критику за недостаточную прозрачность.
Одна из наиболее серьезных уязвимостей, CVE-2023-42115, представляет собой дефект, выходящий за границы, позволяющий удаленным злоумышленникам выполнить произвольный код без аутентификации.
Источник новости: www.ferra.ru