Уязвимость в Exim, позволяющая удалённо выполнить код на сервере

Уязвимость в Exim, приводящая к удалённому выполнению кода на сервере

13.05.2026 13:45 (MSK)

В почтовом сервере Exim выявлена критическая уязвимость (CVE-2026-45185), позволяющая удалённо добиться выполнения кода на сервере. Проблема проявляется начиная с ветки Exim 4.97 при сборке с библиотекой GnuTLS ("USE_GNUTLS=yes") и устранена в выпуске Exim 4.99.3. Сборки с OpenSSL и другими библиотеками, отличными от GnuTLS, уязвимость не затрагивает.

Проблема вызвана обращением к уже освобождённой памяти (use-after-free) в бэкенде к GnuTLS и может быть эксплуатирована при обращении к серверам, поддерживающим расширение "ESMTP CHUNKING" и команду BDAT для передачи порциями тела письма вместо передачи неделимым блоком при помощи команды DATA. Повреждение содержимого памяти процесса возникает при инициировании клиентом преждевременного завершения сеанса TLS при помощи команды close_notify во время передачи тела сообщения через BDAT и отправки следом в том же TCP-соединении одного байта без шифрования в открытом виде.

Получив команду close_notify в бекенде GnuTLS вызывается функция прерывания TLS-сеанса, которая освобождает связанные с сеансом буферы. Из-за ошибки в коде бэкенда, несмотря на освобождение TLS-буфера обработчик BDAT продолжает читать данные из потока и вызывает функцию ungetc(), что при отправке следом незашифрованных данных приводит к записи одного байта в уже освобождённый буфер. Данный байт повреждает метаданные аллокатора памяти в куче (heap), что было использовано для проведения экспериментов по созданию эксплоита, выполняющего произвольный код на сервере.

Вначале исследователи сгенерировали частично работающий эксплоит через AI, который позволил добиться выполнения кода, но был работоспособен только в тепличных условиях, на системах с отключённой защитой ASLR и PIE, и определённой версией библиотеки libc. Далее была предпринята попытка создания эксплоита при участии человека, в которой часть трудностей удалось преодолеть и добиться утечки адреса стека, но до запланированной даты раскрытия информации об уязвимости эксплоит не был доведён до конца. По мнению выявивших уязвимость исследователей AI-ассистенты ещё способны создавать эксплоиты для сложных продуктов, но надеются, что в будущем другие исследователи смогут довести их работу до конца и написать полноценно работающий эксплоит.

Из крупных дистрибутивов версии Exim 4.97+ используются в Debian 13, Ubuntu 24.04+, SUSE/openSUSE, Arch Linux, Alpine Linux 3.19+, ALT Linux p11, ROSA, Gentoo, OpenWRT, Fedora, EPEL (exim не входит в штатный репозиторий RHEL) и FreeBSD. Сборка Exim с GnuTLS применяется по умолчанию в Debian и Ubuntu, в других дистрибутивах требует уточнения. В качестве обходного пути блокирования уязвимости можно отключить расширение CHUNKING при помощи настройки chunking_advertise_hosts в файле конфигурации.

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65436-exim

Ключевые слова: exim

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (22)

1.1, Аноним (1), 13:54, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Exim всю жизнь сам по себе был уязвимостью.

1.2, Аноним (1), 13:56, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
Готов слушать сказочные истории как люди настроили отправку почты с собственного сервера и не попадают в спам. (Картинка с челом в фиолетовой шляпе, который очень внимательно слушает)

2.4, Cyd (?), 14:12, 13/05/2026 [^] [^^] [^^^] [ответить]	+/–
даже с настроеным dkim/dmarc/spf/tls?

3.11, нах. (?), 14:36, 13/05/2026 [^] [^^] [^^^] [ответить]	+/–
даже. А заодно попробуй с "настроенным" подержать у себя хотя бы нормальную рассылку. Хотя бы васянов на двадцать.

4.14, Cyd (?), 14:41, 13/05/2026 [^] [^^] [^^^] [ответить]	+8 +/–
удивительно. у каждого второго корпа свой почтовик. что они делают не так?

5.19, aname (ok), 15:14, 13/05/2026 [^] [^^] [^^^] [ответить]	+/–
Не админят локалхосты

2.9, нах. (?), 14:35, 13/05/2026 [^] [^^] [^^^] [ответить]

+/–

э... ну... берем допустим сервер, небольшой компании с примерно допустим пол-миллиончика клиентов (нет, не сбер, там много, много побольше).
Настраиваем. (на отлепись, spf ?all, какой нафиг dkim, ну ладно, нате вам ревптр хотя бы ресолвящийся а не как обычно, а то много отбойников от нитакусей с наколеночными поделками)

Угадай что cделают щщасливые рабы мэйлрушечки со своим саппортом если очень важные и нужные оповещения что вы опять забыли оплатить и щас мы вам покажем - попадают в спам?!

Настоящий спам при этом можешь рассылать прям хоть с того сервера (хотя чисто технически неудобно, проще еще один поднять, ты ж не забыл про ?all ? и from понятно такой же) - в крайнем случае если тебя та же мэйлрушечка ненадолго и заблокирует - после первого же письма "что за ....?!!!!" - и разблокируют, и еще и извинятся. Потому что за массовые обращения им прилетает и без тебя.

Гугель отдельная история, конечно, надо б пожаловаться роспозору что недостаточно хорошо его запретили. Но там тоже массовость решает, если 99% твоих юзверей достают тебя из спама, все у тебя будет хорошо и даже почти замечательно.

2.15, Аноним (15), 14:52, 13/05/2026 [^] [^^] [^^^] [ответить]	+/–
Холдинг мейлсерверов. Ответственность.

2.17, Аноним (17), 15:09, 13/05/2026 Скрыто ботом-модератором [к модератору]	+/–

2.21, Аноним (21), 15:21, 13/05/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Настроить как следует spf/dkim, слать вменяемые письма, чтобы на mail-tester было 10/10, и не делать массовые рассылки первые несколько месяцев. Ну или делать их достаточно важными, чтобы пользователи массово достали их из спама.

2.22, Аноним (22), 15:31, 13/05/2026 [^] [^^] [^^^] [ответить]	+/–
postfix + dkim + spf + mail-tester + postmaster на гугле + в течение какого-то времени просим пользователей доставать письма из спама гугла. Вроде ок, 400 чел в рассылке.

1.3, Аноним (3), 13:56, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
А ведь и в 2026 году кто-то начинает писать код на си.

2.7, Аноним (15), 14:25, 13/05/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Потому что не терпит сакральности?

1.5, Аноним (5), 14:16, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
"настройка сервера через SMTP, очень дорого!" 😁

1.6, Аноним (15), 14:23, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Оперативно. Опять forky запаздывает. https://security-tracker.debian.org/tracker/CVE-2026-45185

1.8, Xasd1 (?), 14:31, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> но надеются, что в будущем другие исследователи смогут довести их работу до конца и написать полноценно работающий эксплоит ну чтож, дело хорошее

1.10, Аноним (10), 14:36, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]

–1 +/–

Exim 4.97 был выпущен в ноябре 2023го и бекдор успешно проработал 2.5 года.

> Проблема вызвана обращением к уже освобождённой памяти (use-after-free) в бэкенде к GnuTLS

Не удивительно.

В общем ситуация типичная для Eximʼа.

1.12, онанист (?), 14:36, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
опять?

1.13, нах. (?), 14:37, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
где ж mythos?

2.20, Жироватт (ok), 15:17, 13/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Токенов не хватило. Эксплоит писал локальный INDU-OS

1.16, Аноним (16), 15:07, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А ведь еще не так давно сабж ставился по умолчанию при установке десктопного линукса как локальный MTA. Правда в разных дистрах по-разному было, где-то мог быть postfix.

1.18, aname (ok), 15:11, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Проблема проявляется начиная с ветки Exim 4.97 при сборке с библиотекой GnuTLS ("USE_GNUTLS=yes") и устранена в выпуске Exim 4.99.3. Сборки с OpenSSL и другими библиотеками, отличными от GnuTLS, уязвимость не затрагивает. Хехмда. Тысячи глаз®™©.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: