Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-02766

Опубликовано: 04 мая 2021
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Высокий

Описание

Уязвимость компонента tls-openssl.c агента пересылки сообщений Exim, связанная с использованием памяти после ее освобождения, позволяющая нарушителю повысить привилегии в системе и выполнить произвольный код путем отправки специально сформированного запроса

Вендор

Сообщество свободного программного обеспечения
Canonical Ltd.
ООО «Ред Софт»
GNU General Public License
ООО «РусБИТех-Астра»
АО "НППКТ"

Наименование ПО

Debian GNU/Linux
Ubuntu
РЕД ОС
exim
Astra Linux Special Edition
ОСОН ОСнова Оnyx

Версия ПО

9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
10 (Debian GNU/Linux)
7.2 Муром (РЕД ОС)
20.04 LTS (Ubuntu)
20.10 (Ubuntu)
21.04 (Ubuntu)
от 4.0 до 4.94.1 (exim)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «Ред Софт» РЕД ОС 7.2 Муром
Canonical Ltd. Ubuntu 20.04 LTS
Canonical Ltd. Ubuntu 20.10
Canonical Ltd. Ubuntu 21.04
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Exim:
https://www.exim.org/static/doc/security/CVE-2020-qualys/CVE-2020-28018-OCORK.txt
Для РЕД ОС:
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-28018
Для Ubuntu:
https://ubuntu.com/security/CVE-2020-28018
Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Для ОСОН Основа:
Обновление программного обеспечения exim4 до версии 4.92-8+deb10u6
Для ОС Astra Linux Special Edition 1.7:
обновить пакет exim4 до 4.92-8+deb10u6.astra.se19 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.76126
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-28018

CVSS3: 9.8
ubuntu
почти 5 лет назад

Exim 4 before 4.94.2 allows Use After Free in smtp_reset in certain situations that may be common for builds with OpenSSL.

nvd логотип

CVE-2020-28018

CVSS3: 9.8
nvd
почти 5 лет назад

Exim 4 before 4.94.2 allows Use After Free in smtp_reset in certain situations that may be common for builds with OpenSSL.

debian логотип

CVE-2020-28018

CVSS3: 9.8
debian
почти 5 лет назад

Exim 4 before 4.94.2 allows Use After Free in smtp_reset in certain si ...

github логотип

GHSA-5hqr-vx33-mfmh

github
больше 3 лет назад

Exim 4 before 4.94.2 allows Use After Free in smtp_reset in certain situations that may be common for builds with OpenSSL.

suse-cvrf логотип

openSUSE-SU-2021:0677-1

suse-cvrf
больше 4 лет назад

Security update for exim

EPSS

Процентиль: 99%
0.76126
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2