Exim opravuje středně závažnou zranitelnost

[TLP:CLEAR] Exim opravuje středně závažnou zranitelnost

Exim verzí 4.97.1 opravuje středně závažnou zranitelnost [1]. Debian tuto zranitelnost opravil pro bullseye ve verzi 4.94.2-7+deb11u3 a pro bookworm ve verzi 4.96-15+deb12u5 [2].

Exim - (CVE-2024-39929) CVSS 5.4 (Medium)

Neautentizovanému vzdálenému útočníkovi je kvůli nesprávnému zpracování víceřádkového názvu souboru v hlavičce RFC 2231 umožněno obejít ochranný mechanismus blokování přípon $mime_filename a potenciálně doručit spustitelné přílohy do poštovních schránek koncových uživatelů [1].

Zranitelnost se nachází v produktu Exim ve verzích <4.97.1.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

Více informací:

CVE-2024-39929 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-20: Improper Input Validation at cwe.mitre.org

Zranitelnost byla veřejně oznámena 4. 7. 2024.

Odkazy

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-39929
[2] https://lists.debian.org/debian-security-announce/2024/msg00139.html

Publikovala Michaela Mačalíková dne 19. 7. 2024.