Обновление почтового сервера Exim 4.99.1 с устранением уязвимости

17.12.2025 23:09

Опубликован корректирующий выпуск почтового сервера Exim 4.99.1, в котором устранена уязвимость (CVE-2025-67896), позволяющая удалённому атакующему повредить содержимое памяти вне выделенного буфера. Потенциально проблема может использоваться для удалённого выполнения кода на сервере, но рабочий эксплоит пока не подготовлен.

Уязвимость присутствует в коде для работы с внутренней БД (Hints DB) на базе SQLite, используемой для хранения временной информации, состояния доставки сообщений и сведений об интенсивности отправки писем. Проблема вызвана тем, что записи из БД напрямую преобразовывались во внутреннюю структуру "dbdata_ratelimit_unique" без надлежащей проверки. Возникала ситуация, когда создавался фиксированный массив "bloom", размером 40 байт, а содержимое поля "bloom_size", определяющего число записываемых в массив элементов, зависело от размера данных в БД. Атакующий мог организовать запись за пределы выделенного буфера, разместив в БД данные (используя ещё одну уязвимость), при которых поле "bloom_size" принимало значение, заведомо большее, чем размер массива.

Проблема проявляется в выпусках Exim 4.99 и 4.98.2, и затрагивает только конфигурации с ACL ratelimit, в которых используются параметры "unique" или "per_addr" (например, "warn ratelimit = 100 / 1h / per_addr / $sender_address" или "warn ratelimit = 100 / 1h / per_rcpt / unique=$sender_address"). Кроме того, для совершения атаки Exim должен быть собран с поддержкой SQLite (USE_SQLITE=yes), активированной в файле конфигурации (hints_database = sqlite). В уязвимых конфигурация при запуске "exim -bV" выводится "Hints DB: Using sqlite3".

Из крупных дистрибутивов проблемные версии использовались в Debian 13, Ubuntu 25.10, SUSE/openSUSE, Arch Linux, Fedora и FreeBSD. RHEL и производные дистрибутивы проблеме не подвержены, так как Exim не входит в их штатный репозиторий пакетов (в EPEL обновление к пакету exim пока не опубликовано).

Также отмечается выявление нового вектора для эксплуатации уязвимости CVE-2025-26794, устранённой в февральском выпуске Exim 4.98.1. Уязвимость позволяет осуществить подстановку SQL-кода во внутреннюю БД (Hints DB). Ранее добавленное исправление не экранировало одиночные кавычки. Пример команды MAIL FROM, приводящей к подстановке SQL-кода: "MAIL FROM:<"x'/**/UNION/**/SELECT/**/X'<hex_blob>'--"@attacker.com>". Данная уязвимость может использоваться в качестве начального звена для создания условий возникновения описанного выше переполнения буфера.

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64440-exim

Ключевые слова: exim, mail

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (12)

1.1, 1 (??), 23:23, 17/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Реестровые проекты на exim не встречал. Не спроста это, видимо.

2.3, 12yoexpert (ok), 23:32, 17/12/2025 [^] [^^] [^^^] [ответить]	+/–
я не встречал новостей про exim, не связанных с уязвимостями

1.2, Аноним (-), 23:29, 17/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> позволяющая удалённому атакующему повредить содержимое памяти вне > выделенного буфера. Потенциально проблема может использоваться для > удалённого выполнения кода на сервере Хехехе :) А могло бы просто безопасно падать. Как в соседней новости))

1.4, Фонтимос (?), 23:38, 17/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Сабж неписан на безoпаcном языке? Неделю как знакомый возился с ratelimit, узнаю как у него дела. Попробую ломануть его.

1.5, Аноним (5), 23:55, 17/12/2025 [ответить] [﹢﹢﹢] [ · · · ]

–2 +/–

> создавался фиксированный массив "bloom", размером 40 байт
> содержимое поля "bloom_size" [...] зависело от размера данных в БД

Господи, ну и стыд.

Очередной ответ на вопрос местным любителям технологий из 70х, зачем в языке нужны нормальные контейнеры/строки - чтобы не было соблазна вот так сношаться с фиксированными буферами и вылазить за их пределы.

Тем временем шел шестой десяток языку...

2.10, Аноним (10), 00:24, 18/12/2025 [^] [^^] [^^^] [ответить]	+/–
ты что урак? ни разу бд не встречал?

1.6, Аноним (6), 00:03, 18/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Это тот самый почтовый сервер, который сразу надо заменить на nullmailer после накатки дистра?

2.7, Аноним (-), 00:09, 18/12/2025 Скрыто ботом-модератором [к модератору]	+/–

1.8, Аноним (8), 00:13, 18/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ну и зачем было для Hints DB прикручивать SQLite? С лихвой хватало tdb, на крайняк - gdbm. SQLite в роли Hints DB имеет безумную избыточность. Вот и получили CVE. Замечательная иллюстрация "бритвы Оккама".

1.9, Аноним (-), 00:20, 18/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> выявление нового вектора для эксплуатации уязвимости CVE-2025-26794, устранённой в февральском выпуске Exim 4.98.1. Уязвимость позволяет осуществить подстановку SQL-кода во внутреннюю БД (Hints DB). Ранее добавленное исправление не экранировало одиночные кавычки. Ахаха! Код не только пишут профи, но даже баги фиксят самые лучшие)

1.11, Стакан Васяныч (-), 01:20, 18/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Кому и зачем нужна почта в почти 2к26 году? Не помню когда в постедний раз кому-то что-то писал по емейл. Для остального яндекс и гугл мейлов достаточно.

1.12, Аноним (12), 01:49, 18/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
единственный софт через который поймал на сервере майнер. снес и больше про него не вспоминаю, как оказалось не зря.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: