وصلهای برای سرور ایمیل Exim نسخه ۴.۹۹.۱ منتشر شده است که آسیبپذیری (CVE-2025-67896) را که به یک مهاجم از راه دور اجازه میدهد حافظه خارج از محدوده را خراب کند، برطرف میکند. این آسیبپذیری میتواند به طور بالقوه برای اجرای کد از راه دور روی سرور مورد استفاده قرار گیرد، اما هنوز یک بهرهبرداری مؤثر برای آن توسعه داده نشده است.
این آسیبپذیری در کد پایگاه داده داخلی مبتنی بر SQLite (Hints DB) وجود دارد که برای ذخیره اطلاعات زمان، وضعیت تحویل پیام و دادههای نرخ ارسال ایمیل استفاده میشود. این مشکل ناشی از تبدیل مستقیم رکوردهای پایگاه داده به ساختار داخلی "dbdata_ratelimit_unique" بدون اعتبارسنجی مناسب است. این اتفاق زمانی رخ میدهد که یک آرایه ثابت 40 بایتی "bloom" ایجاد میشود و محتویات فیلد "bloom_size" که تعداد عناصر نوشته شده در آرایه را تعیین میکند، به اندازه دادههای پایگاه داده بستگی دارد. یک مهاجم میتواند با وارد کردن دادهها در پایگاه داده (با سوءاستفاده از یک آسیبپذیری دیگر) و با تنظیم آگاهانه فیلد "bloom_size" روی مقداری بزرگتر از اندازه آرایه، فراتر از بافر اختصاص داده شده بنویسد.
این مشکل Exim نسخههای ۴.۹۹ و ۴.۹۸.۲ را تحت تأثیر قرار میدهد و فقط پیکربندیهایی با ACL مربوط به ratelimit را تحت تأثیر قرار میدهد که از پارامترهای "unique" یا "per_addr" استفاده میکنند (مثلاً "warn ratelimit = 100 / 1h / per_addr / $sender_address" یا "warn ratelimit = 100 / 1h / per_rcpt / unique=$sender_address"). علاوه بر این، برای انجام حمله، Exim باید با پشتیبانی SQLite (USE_SQLITE=yes) فعال در فایل پیکربندی (hints_database = sqlite) کامپایل شود. در پیکربندیهای آسیبپذیر، اجرای "exim -bV" منجر به خروجی "Hints DB: Using sqlite3" میشود.
از توزیعهای اصلی، نسخههای مشکلدار در موارد زیر استفاده شدند: Debian شماره ۱۰۲۹، Ubuntu ۲۵.۱۰، سوزه/اوپن سوزه، آرچ Linux، فدورا و FreeBSD. RHEL و مشتقات آن تحت تأثیر این مشکل قرار ندارند، زیرا Exim در مخازن بسته استاندارد آنها گنجانده نشده است (EPEL هنوز بهروزرسانی برای بسته Exim منتشر نکرده است).
یک مسیر جدید برای سوءاستفاده از آسیبپذیری CVE-2025-26794 که در نسخه فوریه Exim 4.98.1 برطرف شده بود، نیز شناسایی شده است. این آسیبپذیری امکان جایگزینی SQL را در پایگاه داده داخلی (Hints DB) فراهم میکند. یک اصلاحیه که قبلاً اضافه شده بود، علامت نقل قول تکی را از قلم نمیانداخت. نمونهای از دستور MAIL FROM که منجر به جایگزینی SQL میشود: "MAIL FROM:<«x'/**/UNION/**/SELECT/**/X' «—«@attacker.com>». این آسیبپذیری میتواند به عنوان نقطه شروعی برای ایجاد شرایط سرریز بافر که در بالا توضیح داده شد، مورد استفاده قرار گیرد.
منبع: opennet.ru
