Numéro : AL17-013
Date : Le 28 novembre 2017
Objet
Le but de cette alerte est d’attirer l’attention sur des vulnérabilités récentes dans Exim Internet Mail.
Évaluation
Le CCRIC a pris connaissance de deux vulnérabilités divulguées dans Exim Internet Mail 4.88 and 4.89 qui permettent à un attaquant d’exécuter du code de façon arbitraire ou causer un déni de service par un vecteur impliquant la commande DBAT.
Mesures Recommandées
Dues aux risques potentiels de ces vulnérabilités, le CCRIC recommande aux administrateurs de système de surveiller la diffusion du correctif par le développeur. Des solutions temporaires ont été proposées par le développeur.
De plus, le CCRIC fournit une règle Suricata afin de détecter les tentatives d’exploitation de ces vulnérabilités par la commande DBAT :
alert smtp any any -> $HOME_NET any (msg: "[PT OPEN] Exim 4.88, 4.89 UAF RCE Attempt (CVE-2017-16943)"; flow: established, to_server; content: "BDAT"; content: "BDAT"; within: 10; pcre: "/BDAT\s*\D[^\n\r]*[\n\r][^\n\r]{100}/"; reference: cve, 2017-16943; reference: url, bugs.exim.org/show_bug.cgi?id=2199; classtype: attempted-admin; sid: 10002280; rev: 2; )
Références :