PT-2021-3130 · Exim 4+6 · Exim 4+6

Publicado

2018-03-12

·

Atualizado

2024-06-15

·

CVE-2020-28018

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do Exim 4 anteriores à 4.94.2
Descrição
O problema está relacionado a uma condição de “Use After Free” na função smtp reset em determinadas situações, particularmente em compilações que incluem o OpenSSL. Isso poderia permitir que um invasor elevasse privilégios no sistema e executasse código arbitrário enviando uma solicitação especialmente criada. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo nem detalhes sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Recomendações
Para versões do Exim 4 anteriores à 4.94.2, atualize para a versão 4.94.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função smtp reset em situações em que o OpenSSL é utilizado, até que um patch seja aplicado.

Exploit

Correção

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

ALT-PU-2018-1409
ALT-PU-2020-2318
ALT-PU-2021-1764
ALT-PU-2022-2269
BDU:2021-02766
CVE-2020-28018
OPENSUSE-SU-2021:0677-1
OPENSUSE-SU-2021:0753-1
OPENSUSE-SU-2021:0754-1
OPENSUSE-SU-2021_0677-1
OPENSUSE-SU-2024:10746-1
USN-4934-1

Produtos afetados

Alt Linux
Astra Linux
Exim 4
Linuxmint
Openssl
Suse
Ubuntu