发布时间:2021-07-29 16:32:07,来源:腾讯云计算(北京)有限责任公司、奇安信科技集团股份有限公司
近日,Exim发布了Exim整数溢出漏洞的风险通告,漏洞CVE编号:CVE-2020-28020。攻击者可利用该漏洞可以向邮件服务器发送特制的恶意数据,触发整数溢出漏洞。建议受影响用户尽快升级到安全版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
高危
Exim是一个运行于Unix系统中的开源消息传送代理(MTA),它主要负责邮件的路由、转发和投递。Exim是根据GNU通用公共许可证条款分发的免费软件。
Exim存在整数溢出漏洞,该漏洞源于receive_msg 函数,在未经身份验证的情况下,攻击者可以通过“\n”绕过Exim对邮件头大小的限制,从而造成整数溢出。
Exim < 4.94.2
目前官方已修复该漏洞,建议受影响用户尽快更新至安全版本。
https://www.exim.org/static/doc/security/CVE-2020-qualys/CVE-2020-28020-HSIZE.txt
https://www.openwall.com/lists/oss-security/2021/07/25/1
https://seclists.org/oss-sec/2021/q3/42
https://www.qualys.com/2021/05/04/21nails/21nails.txt