Opublikowano łatkę dla serwera pocztowego Exim 4.99.1, która naprawia lukę w zabezpieczeniach (CVE-2025-67896), umożliwiającą zdalnemu atakującemu uszkodzenie pamięci poza zakresem. Luka ta mogłaby potencjalnie zostać wykorzystana do zdalnego wykonania kodu na serwerze, ale nie opracowano jeszcze działającego exploita.
Luka występuje w kodzie wewnętrznej bazy danych opartej na SQLite (Hints DB), która służy do przechowywania informacji o czasie, statusie dostarczenia wiadomości i szybkości wysyłania wiadomości e-mail. Problem jest spowodowany bezpośrednią konwersją rekordów bazy danych do wewnętrznej struktury „dbdata_ratelimit_unique” bez odpowiedniej walidacji. Dzieje się tak, gdy tworzona jest stała, 40-bajtowa tablica „bloom”, a zawartość pola „bloom_size”, które określa liczbę elementów zapisywanych w tablicy, zależy od rozmiaru danych w bazie danych. Atakujący może dokonać zapisu poza przydzielonym buforem, wstawiając dane do bazy danych (wykorzystując inną lukę), świadomie ustawiając pole „bloom_size” na wartość większą niż rozmiar tablicy.
Problem dotyczy systemów Exim w wersjach 4.99 i 4.98.2, a jego skutki dotyczą wyłącznie konfiguracji z listą kontroli dostępu ratelimit, która używa parametrów „unique” lub „per_addr” (np. „warn ratelimit = 100 / 1h / per_addr / $sender_address” lub „warn ratelimit = 100 / 1h / per_rcpt / unique=$sender_address”). Ponadto, aby przeprowadzić atak, system Exim musi zostać skompilowany z włączoną obsługą SQLite (USE_SQLITE=yes) w pliku konfiguracyjnym (hints_database = sqlite). W podatnych na atak konfiguracjach, uruchomienie polecenia „exim -bV” powoduje wyświetlenie komunikatu „Hints DB: Using sqlite3”.
W głównych dystrybucjach używano wersji problematycznych Debian 13, Ubuntu 25.10, SUSE/openSUSE, Arch Linux, Fedora i FreeBSD. Problem ten nie dotyczy systemów RHEL i jego pochodnych, ponieważ pakiet Exim nie jest uwzględniony w ich standardowych repozytoriach pakietów (EPEL nie opublikował jeszcze aktualizacji pakietu Exim).
Zidentyfikowano również nowy wektor umożliwiający wykorzystanie luki w zabezpieczeniach CVE-2025-26794, naprawionej w lutowej wersji Exim 4.98.1. Luka umożliwia podstawianie kodu SQL w wewnętrznej bazie danych (Hints DB). Wcześniej dodana poprawka nie powodowała zmiany znaczenia pojedynczych cudzysłowów. Przykład polecenia MAIL FROM prowadzącego do podstawiania kodu SQL: "MAIL FROM:<«x'/**/UNION/**/SELECT/**/X' '—«@attacker.com>». Ta luka może posłużyć jako punkt wyjścia do stworzenia warunków przepełnienia bufora opisanych powyżej.
Źródło: opennet.ru
