Un correctif pour le serveur de messagerie Exim 4.99.1 a été publié, résolvant une vulnérabilité (CVE-2025-67896) permettant à un attaquant distant de corrompre des données en dehors des limites de la mémoire. Cette vulnérabilité pourrait potentiellement être exploitée pour exécuter du code à distance sur le serveur, mais aucune méthode d'exploitation fonctionnelle n'a encore été développée.
La vulnérabilité réside dans le code de la base de données interne SQLite (Hints DB), utilisée pour stocker les informations temporelles, l'état de distribution des messages et les données de débit d'envoi d'e-mails. Le problème provient de la conversion directe des enregistrements de la base de données vers la structure interne « dbdata_ratelimit_unique » sans validation préalable. Cela se produit lors de la création d'un tableau « bloom » de 40 octets, dont la valeur du champ « bloom_size », déterminant le nombre d'éléments écrits, dépend de la taille des données. Un attaquant pourrait ainsi écrire au-delà de la taille du tampon alloué en insérant des données dans la base (en exploitant une autre vulnérabilité) avec une valeur du champ « bloom_size » sciemment supérieure à la taille du tableau.
Ce problème affecte Exim 4.99 et 4.98.2, et uniquement les configurations avec une liste de contrôle d'accès (ACL) de limitation de débit utilisant les paramètres « unique » ou « per_addr » (par exemple, « warn ratelimit = 100 / 1h / per_addr / $sender_address » ou « warn ratelimit = 100 / 1h / per_rcpt / unique=$sender_address »). De plus, pour exploiter cette vulnérabilité, Exim doit être compilé avec la prise en charge de SQLite (USE_SQLITE=yes) activée dans le fichier de configuration (hints_database = sqlite). Dans les configurations vulnérables, l'exécution de la commande « exim -bV » affiche le message « Hints DB : Utilisation de sqlite3 ».
Parmi les principales distributions, des versions problématiques ont été utilisées dans Debian 13 Ubuntu 25.10, SUSE/openSUSE, Arch LinuxFedora et FreeBSD sont concernés. RHEL et ses dérivés ne sont pas affectés par ce problème, car Exim n'est pas inclus dans leurs dépôts de paquets standard (EPEL n'a pas encore publié de mise à jour du paquet Exim).
Un nouveau vecteur d'exploitation de la vulnérabilité CVE-2025-26794, corrigée dans la version 4.98.1 d'Exim publiée en février, a été identifié. Cette vulnérabilité permet la substitution de requêtes SQL dans la base de données interne (Hints DB). Un correctif précédent n'échappait pas les guillemets simples. Exemple de commande MAIL FROM entraînant une substitution SQL : « MAIL FROM:<«x'/**/UNION/**/SELECT/**/X' » —«@attacker.com>». Cette vulnérabilité peut servir de point de départ pour créer les conditions du dépassement de tampon décrit ci-dessus.
Source: opennet.ru
