全球過半互聯網郵件伺服器受嚴重漏洞影響

譯文聲明

原文地址：

震驚！幾十萬台郵件伺服器遭一個嚴重漏洞影響！

雖然修復方案已發布，但由於影響範圍過大，因此修復該問題至少要耗費數周甚至數月的時間。

該漏洞存在於郵件傳輸代理 (MTA)Exim中，該軟體運行在郵件伺服器上，負責把郵件從發件人中繼給收件人。

根據2017年3月發布的一項調查顯示，56%的互聯網伺服器運行 Exim，當時網上的郵件伺服器超過56萬台。最近發布的報告將這個數字增加到數百萬台。

漏洞可導致遠程代碼執行

早先，台灣研究員 MehChang發現了這個漏洞並在2月2日將這一問題告知 Exim團隊。事後，該團隊積極響應，並在2月10日發布的4.90.1版本中修復了這個遠程代碼執行漏洞。

該漏洞的編號是 CVE-2018-6789，它被歸類為一個「預驗證遠程代碼執行」漏洞，也就是說，攻擊者可誘騙 Exim郵件伺服器在攻擊者驗證身份之前運行惡意代碼。

這個漏洞是一個位元組緩衝溢出漏洞，存在於 Exim的六十四進位的解碼功能中，而且影響所有已發布的 Exim版本。

Chang在博客文章中詳細說明了利用 Exim SMTP守護進程的基礎步驟。

PoC或利用代碼未公開

Exim團隊在一份安全公告中公開證實該問題存在。該團隊表示，「目前我們尚不確定漏洞的嚴重程度，我們認為漏洞難以被利用。目前尚不存在緩解措施。」

自從 Exim 4.90.1發布以來，更新版本就發布為主要用於數據中心的Linux發行版本，但網上未修復系統的數量仍然是個問題。鑒於 Exim是目前世界上最流行的郵件代理，CVE-2018-6789的危害不容小覷，而 Exim伺服器的所有用戶應該儘快下載 Exim 4.90.1更新版本。

在本文成稿時，雖然並不存在利用易受攻擊的 Exim伺服器的公開利用代碼，但 Chang發表博客文章後，這種情況可能發生變化。Chang在去年還發現了其它兩個 Exim可導致遠程代碼執行問題的漏洞。這些漏洞已在Exim4.90中予以修復。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！