Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/09/09

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

Exim zerbitzariak, 4.92.1 eta lehenagoko bertsioak, TLS konexioak onartzen badituzte, bai GnuTLS eta bai OpenSSL.

Azalpena: 

Exim-ek duen segurtasun akats kritiko bat baliatuz urruneko kodea exekuta liteke root pribilegioekin, TLS konexioak onartzen dituzten zerbitzarietan.

Konponbidea: 

4.92.2 eguneraketa aplikatzea.

Xehetasuna: 

backslash-null sekuentzia batean amaitzen den SNI bat bidaliz gero TLSren hasierako negoziazioan zehar, erasotzaile lokal nahiz urruneko batek kodea exekuta lezake administratzaile pribilegioekin. Ahultasun horretarako CVE-2019-15846 identifikatzailea erabili da.

Etiketak: Eguneraketa, Komunikazioak, Ahultasuna