Meşhur Exim poçta serweriniň kodunyň barlagy öňden belli bolmadyk 21 sany gowşaklyklary ýüze çykardy. Bu gowşaklyklaryň birnäçesini nyşana alynan serwerde uzaklykdan kod ýerine ýetirmek üçin bilelikde ulanmak mümkin, we bu zyýanly hereketi amala aşyrmak üçin autentifikasiýa barlagyndan geçmegi talap edilmeýär.

Programma döredijiler Exim v4.94.2 wersiýaly düzedişleri çykaryp, ulanyjylara gysga wagtyň içinde täzelenmäni gurnamagy maslahat berýärler. Mundan başga-da, indiden beýläk 4.94.2-den öň çykan ähli wersiýalar könelişen diýip hasaplanýar.

Exim kodunyň barlagyny Qualys kompaniýanyň gözlegçisi geçirip, bu barlagyň netijesinde «21Nails» diýip atlandyrylan ýigrimiden gowrak gowşaklyklar ýüze çykaryldy. Gowşaklyklaryň köpüsi poçta serweriniň ähli wersiýalaryna täsir edýärler.

Ýüze çykarylan on sany gowşaklyklary uzaklykdan ulanmak mümkin, käbir ýalňyşlyklar hatda nyşana alynan ulgamlarda root hukuklary almak mümkinçiligini berýärler:

CVE-2020-28017 – bu receive_add_recipient() funksiýasynda bitewi sanyň aşa dolmak gowşaklygy;

CVE-2020-28020 – receive_msg() funksiýasynda bitewi sanyň aşa dolmak gowşaklygy;

CVE-2020-28023 – smtp_setup_msg() funksiýasynda çäkden daşary okamak gowşaklygy;

CVE-2020-28021 - uzaklykdan kod girizmek mümkinçiligini berýän gowşaklyk;

CVE-2020-28022 - extract_option() funksiýasynda çäkden daşary okamak we ýazmak gowşaklygy;

CVE-2020-28026 - spool_read_header () funksiýasynda inýeksiýa gowşaklygy;

CVE-2020-28019 - Funksiýa görkezijisini (BDAT ýalňyşlykdan soň) dikeltmek näsazlygy;

CVE-2020-28024 - smtp_ungetc () funksiýasynda buferiň aşa dolmak gowşaklygy;

CVE-2020-28018 – tls-openssl.c funksiýasynda «Use-after-free» gowşaklygy;

CVE-2020-28025 – pdkim_finish_bodyhash() funksiýasynda çäkden daşary okamak gowşaklygy.

Beýleki 11 sany gowşaklyklar diňe lokal görnüşde ulanylyp, olaryň köpüsi deslapky sazlamalar ýa-da adaty gowşak sazlamalar bilen baglanyşykly bolup durýarlar. Gowşaklyklar barada giňişleýin maglumaty Qualys sahypasynda görüp bilersiňiz - qualys.com.

Çeşme: anti-malware.ru