当前位置:首页 > 漏洞预警 > 正文

Exim 4整数溢出漏洞(CVE-2020-28020)预警

发布时间:2021-07-29 16:32:07,来源:腾讯云计算(北京)有限责任公司、奇安信科技集团股份有限公司

      一、 基本情况

近日,Exim发布了Exim整数溢出漏洞的风险通告,漏洞CVE编号:CVE-2020-28020。攻击者可利用该漏洞可以向邮件服务器发送特制的恶意数据,触发整数溢出漏洞。建议受影响用户尽快升级到安全版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞等级

高危

      三、 漏洞描述

Exim是一个运行于Unix系统中的开源消息传送代理(MTA),它主要负责邮件的路由、转发和投递。Exim是根据GNU通用公共许可证条款分发的免费软件。

Exim存在整数溢出漏洞,该漏洞源于receive_msg 函数,在未经身份验证的情况下,攻击者可以通过“\n”绕过Exim对邮件头大小的限制,从而造成整数溢出。

      四、 影响范围

Exim < 4.94.2

      五、 安全建议

目前官方已修复该漏洞,建议受影响用户尽快更新至安全版本。

https://www.exim.org/static/doc/security/CVE-2020-qualys/CVE-2020-28020-HSIZE.txt

      六、 参考链接

https://www.openwall.com/lists/oss-security/2021/07/25/1

https://seclists.org/oss-sec/2021/q3/42

https://www.qualys.com/2021/05/04/21nails/21nails.txt