メール転送エージェント「Exim」のDMARC関連処理に脆弱性
メール転送エージェント(MTA)である「Exim」において、送信者認証「DMARC」の関連処理に脆弱性が明らかとなった。
関数「dmarc_dns_lookup」に解放後のメモリを使用するいわゆる「Use After Free」の脆弱性の「CVE-2022-3620」が明らかとなったもの。「同4.95-RC0」以降に脆弱性は存在し、「DMARC」のサポートを有効化している場合に影響を受けるという。
CVEの採番機関である「VulDB」は、共通脆弱性評価システム「CVSSv3.1」において同脆弱性のベーススコアを「5.6」と評価。
一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、CVSS基本値を「9.8」、重要度を「クリティカル(Critical)」とレーティングしている。
脆弱性を修正するパッチは、git.exim.orgにて公開されており、各Lixnuxディストリビューションにおいても対応が進めらている。
(Security NEXT - 2022/11/01 )
ツイート
PR
関連記事
複数Fortinet製品に認証回避の深刻な脆弱性 - 影響確認と対策を
MS、2025年最後の月例パッチ - ゼロデイ含む脆弱性56件に対処
国内セキュリティ産業の振興コミュニティが発足
JPCERT/CCベストレポーター賞、多数の報告で寄与した2人が受賞
研究室に侵入者、個人情報をPCから持ち去りか - 北大
ランサム被害による個人情報流出を確認 - 保険事故調査会社
テモナの「たまごリピート」、脆弱性突かれ侵入 - 流出痕跡は確認されず
「Array AG」狙う攻撃、関連する複数IPアドレスを公開 - IPA
Ruby向けSAML認証ライブラリに深刻な脆弱性 - 最新版へ更新を
「Array AG」にCVE未採番の脆弱性 - 8月に国内で悪用被害
