Exim, vulnerabili i server email

Individuate due pericolose vulnerabilità nel software per server email più usato al mondo. Una delle falle può portare all'esecuzione di codice da remoto, mentre gli sviluppatori promettono una patch che ancora latita

Roma – Un ricercatore ha scovato due vulnerabilità di sicurezza, una più pericolosa dell’altra, nel codice di Exim , sistema di Mail Transfer Agent (MTA) open source per OS Unix-like usato su più del 50 per cento dei mail server presenti in Rete . Chi l’ha scoperta si lamenta della difficoltà di comunicazione con gli sviluppatori e questi ultimi suggeriscono “pezze” temporanee in attesa di una patch propriamente detta.

Il primo bug è una vulnerabilità di tipo use-after-free che può essere sfruttata per eseguire codice malevolo da remoto , un problema riguardante la funzionalità di “chunking” di Exim usata per spezzettare le mail di grandi dimensioni per uno smistamento più agevole.

La seconda vulnerabilità , invece, è di minore gravità riguardando un “semplice” rischio di attacco DoS con conseguente crash del server.
Anche in questo caso si tratta di abusare dei comandi di chunking di Exim.

Per quanto riguarda le versioni vulnerabili, si parla delle ultime release del software ovvero della 4.88 e 4.89 . I dettagli dei bug sono già stati resi pubblici vista l’assenza di un canale di comunicazione privato, un problema riconosciuto anche dagli stessi sviluppatori di Exim .


Un agente MTA come Exim ha il compito di smistare la posta elettronica fra mittente e destinatario, e stando alle stime fornite dai ricercatori il numero di server vulnerabili (ovverosia con la funzionalità di chunking abilitata) si attesta sulle oltre 400.000 unità .

Al momento non esistono informazioni precise sull’arrivo della prevedibile patch correttiva, e il team di Exim si è limitato a fornire istruzioni su come inibire gli eventuali attacchi disabilitando parte della funzionalità di chunking nella configurazione del server (” chunking_advertise_hosts = “).

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti