Alert GCSA-19101 - Vulnerabilita' in Exim
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID: Alert GCSA-19101
Data: 30 settembre 2019
Titolo: Vulnerabilita' in Exim
******************************************************************
:: Descrizione del problema
E' stata riscontrata un'altra vulnerabilita' in Exim che potrebbe essere
sfruttata da un attaccante remoto per eseguire codice arbitrario su un
sistema affetto.
Maggiori dettagli sono disponibili nella segnalazione ufficiale alla
sezione "Riferimenti".
:: Software interessato
Exim versioni dalla 4.92 alla 4.92.2 (estremi compresi).
:: Impatto
Gli sviluppatori hanno trovato un heap-based buffer overflow in
string_vformat (string.c). L'exploit conosciuto usa una stringa particolarmente
lunga passata ad EHLO per portare al crash il processo di Exim, mentre altri
comandi possono potenzialmente essere usati per l'esecuzione di codice
arbitrario.
:: Soluzioni
Aggiornare il software alla versione 4.92.3.
:: Riferimenti
CERT-FR:
https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-474/
Exim:
https://www.exim.org/static/doc/security/CVE-2019-16928.txt
GARR CERT Security Alert - subscribe/unsubscribe:
https://cert.garr.it/it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iFwEARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCXZJd+gAKCRDBnEyTZRJg
QmodAJjR7E7PwqTIcBCxyN6ZFBG38k6sAKDHgqi1hbZRLSIUQqN67raNm/PyMw==
=1OD+
-----END PGP SIGNATURE-----