Уязвимость в Exim, приводящая к удалённому выполнению кода на сервере

13.05.2026 13:45 (MSK)

В почтовом сервере Exim выявлена критическая уязвимость (CVE-2026-45185), позволяющая удалённо добиться выполнения кода на сервере. Проблема проявляется начиная с ветки Exim 4.97 при сборке с библиотекой GnuTLS ("USE_GNUTLS=yes") и устранена в выпуске Exim 4.99.3. Сборки с OpenSSL и другими библиотеками, отличными от GnuTLS, уязвимость не затрагивает.

Проблема вызвана обращением к уже освобождённой памяти (use-after-free) в бэкенде к GnuTLS и может быть эксплуатирована при обращении к серверам, поддерживающим расширение "ESMTP CHUNKING" и команду BDAT для передачи порциями тела письма вместо передачи неделимым блоком при помощи команды DATA. Повреждение содержимого памяти процесса возникает при инициировании клиентом преждевременного завершения сеанса TLS при помощи команды close_notify во время передачи тела сообщения через BDAT и отправки следом в том же TCP-соединении одного байта без шифрования в открытом виде.

Получив команду close_notify в бекенде GnuTLS вызывается функция прерывания TLS-сеанса, которая освобождает связанные с сеансом буферы. Из-за ошибки в коде бэкенда, несмотря на освобождение TLS-буфера обработчик BDAT продолжает читать данные из потока и вызывает функцию ungetc(), что при отправке следом незашифрованных данных приводит к записи одного байта в уже освобождённый буфер. Данный байт повреждает метаданные аллокатора памяти в куче (heap), что было использовано для проведения экспериментов по созданию эксплоита, выполняющего произвольный код на сервере.

Вначале исследователи сгенерировали частично работающий эксплоит через AI, который позволил добиться выполнения кода, но был работоспособен только в тепличных условиях, на системах с отключённой защитой ASLR и PIE, и определённой версией библиотеки libc. Далее была предпринята попытка создания эксплоита при участии человека, в которой часть трудностей удалось преодолеть и добиться утечки адреса стека, но до запланированной даты раскрытия информации об уязвимости эксплоит не был доведён до конца. По мнению выявивших уязвимость исследователей AI-ассистенты ещё способны создавать эксплоиты для сложных продуктов, но надеются, что в будущем другие исследователи смогут довести их работу до конца и написать полноценно работающий эксплоит.

Из крупных дистрибутивов версии Exim 4.97+ используются в Debian 13, Ubuntu 24.04+, SUSE/openSUSE, Arch Linux, Alpine Linux 3.19+, ALT Linux p11, ROSA, Gentoo, OpenWRT, Fedora, EPEL (exim не входит в штатный репозиторий RHEL) и FreeBSD. Сборка Exim с GnuTLS применяется по умолчанию в Debian и Ubuntu, в других дистрибутивах требует уточнения. В качестве обходного пути блокирования уязвимости можно отключить расширение CHUNKING при помощи настройки chunking_advertise_hosts в файле конфигурации.

исправить +2 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65436-exim

Ключевые слова: exim

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (36)

1.1, Аноним (1), 13:54, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Exim всю жизнь сам по себе был уязвимостью.

2.24, 12yoexpert (ok), 15:57, 13/05/2026 [^] [^^] [^^^] [ответить]	+2 +/–
это аксиома exim: если есть новость про exim, то она про уязвимости

1.2, Аноним (1), 13:56, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
Готов слушать сказочные истории как люди настроили отправку почты с собственного сервера и не попадают в спам. (Картинка с челом в фиолетовой шляпе, который очень внимательно слушает)

2.4, Cyd (?), 14:12, 13/05/2026 [^] [^^] [^^^] [ответить]	+/–
даже с настроеным dkim/dmarc/spf/tls?

3.11, нах. (?), 14:36, 13/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
даже. А заодно попробуй с "настроенным" подержать у себя хотя бы нормальную рассылку. Хотя бы васянов на двадцать.

4.14, Cyd (?), 14:41, 13/05/2026 [^] [^^] [^^^] [ответить]	+12 +/–
удивительно. у каждого второго корпа свой почтовик. что они делают не так?

5.19, aname (ok), 15:14, 13/05/2026 [^] [^^] [^^^] [ответить]	+/–
Не админят локалхосты

5.26, нах. (?), 16:22, 13/05/2026 [^] [^^] [^^^] [ответить]

+/–

> удивительно. у каждого второго корпа свой почтовик. что они делают не так?

я прям рядом, предыдущему анониму написал - что именно. Ну и вообще-то не у каждого второго все что он пишет не отправляется прямиком в папочку spam (а то и вообще реджектится), вовсе не у каждого. Только у крупняка.

И самое главное - ты со своим личным почтовичком НИЧЕГО с этим сделать не сможешь. Во-первых просто статистика не в твою пользу, во-вторых твоя писанина не имеет "корпоративного дизайна переписки" (sic!) - значит, по мнению роботов - она точно спам.

А вот этовот - с тонной жабаскрипта и какими-то картинками из интернетов - это точно надо доставить юзеру!
Потому что 99.99% почты которую он НЕ переложил вручную в "спам" - выглядит точно так же.
И те два письма от банка которые он из спама вынул - тоже.

3.35, Аноним (35), 18:08, 13/05/2026 [^] [^^] [^^^] [ответить]	+/–
Ещё PTR домена забыли.

2.9, нах. (?), 14:35, 13/05/2026 [^] [^^] [^^^] [ответить]

+/–

э... ну... берем допустим сервер, небольшой компании с примерно допустим пол-миллиончика клиентов (нет, не сбер, там много, много побольше).
Настраиваем. (на отлепись, spf ?all, какой нафиг dkim, ну ладно, нате вам ревптр хотя бы ресолвящийся а не как обычно, а то много отбойников от нитакусей с наколеночными поделками)

Угадай что cделают щщасливые рабы мэйлрушечки со своим саппортом если очень важные и нужные оповещения что вы опять забыли оплатить и щас мы вам покажем - попадают в спам?!

Настоящий спам при этом можешь рассылать прям хоть с того сервера (хотя чисто технически неудобно, проще еще один поднять, ты ж не забыл про ?all ? и from понятно такой же) - в крайнем случае если тебя та же мэйлрушечка ненадолго и заблокирует - после первого же письма "что за ....?!!!!" - и разблокируют, и еще и извинятся. Потому что за массовые обращения им прилетает и без тебя.

Гугель отдельная история, конечно, надо б пожаловаться роспозору что недостаточно хорошо его запретили. Но там тоже массовость решает, если 99% твоих юзверей достают тебя из спама, все у тебя будет хорошо и даже почти замечательно.

2.15, Аноним (15), 14:52, 13/05/2026 [^] [^^] [^^^] [ответить]	+/–
Холдинг мейлсерверов. Ответственность.

2.17, Аноним (17), 15:09, 13/05/2026 Скрыто ботом-модератором [к модератору]	+/–

2.21, Аноним (21), 15:21, 13/05/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Настроить как следует spf/dkim, слать вменяемые письма, чтобы на mail-tester было 10/10, и не делать массовые рассылки первые несколько месяцев. Ну или делать их достаточно важными, чтобы пользователи массово достали их из спама.

2.22, Аноним (22), 15:31, 13/05/2026 [^] [^^] [^^^] [ответить]	+/–
postfix + dkim + spf + mail-tester + postmaster на гугле + в течение какого-то времени просим пользователей доставать письма из спама гугла. Вроде ок, 400 чел в рассылке.

3.28, нах. (?), 16:26, 13/05/2026 [^] [^^] [^^^] [ответить]

+1 +/–

> в течение какого-то времени просим пользователей доставать письма из спама гугла.

зашибись. Отличное решение. Надежное и эффективное. 100%!

> Вроде ок, 400 чел в рассылке.

где ты набрал 400 тех кто может что-то вообще достать из спама, я уж молчу про хочет это делать?

4.31, аврварвар (?), 17:45, 13/05/2026 [^] [^^] [^^^] [ответить]

+/–

Самое простое: "для регистрации отправьте нам письмо на такой-то адрес".

Если человек отправил куда-то письмо, то ответные письма с того же адреса попадут (с куда большей вероятностью) не в спам.

5.32, нах. (?), 17:49, 13/05/2026 [^] [^^] [^^^] [ответить]	+/–
для гугля по-моему уже не работает (по-моему потому что я тоже уже ушел с гугля давным-давно)

6.36, аврварвар (?), 18:22, 13/05/2026 [^] [^^] [^^^] [ответить]	+/–
Ну а что тогда работает?

7.37, нах. (?), 18:26, 13/05/2026 [^] [^^] [^^^] [ответить]

+/–

> Ну а что тогда работает?

не знаю. Говорю же - ушел я давно с гугля, и не в курсе починили они там чего или нет.
Судя по тому что последние годы попер спам с серверов самого гугля - не то что не починили, а все совсем плохо, совсем какие-то низкокастовые индусы читают теперь там почту, так что надеяться на разумные технические решения не приходится.

Ну в общем логично, в современном мэйле кроме спама собственно ничего и не осталось уже, люди перестали им пользоваться как средством коммуникации, а чего ж тогда гуглю тратиться на качественный сервис. Он теперь нужен только ведроидовые логины создавать.

В РФ, благодаря сам-знаешь-чему - еще более-менее ничего.

2.23, 12yoexpert (ok), 15:53, 13/05/2026 [^] [^^] [^^^] [ответить]	+3 +/–
я поднял на домашнем, за 5 лет ни одно письмо не улетело в спам но тут есть нюанс: я не рассылаю спам

2.29, Аноним (29), 17:25, 13/05/2026 [^] [^^] [^^^] [ответить]	+/–
Если IP адрес/подсеть не с сомнительной репутацией, есть корректные PTR и SPF записи, то в подавляющем большинстве случаев этого должно быть достаточно для нормальной доставляемости почты. Даже DKIM и, тем более, DMARC не особо нужны.

3.34, нах. (?), 17:57, 13/05/2026 [^] [^^] [^^^] [ответить]

+/–

> Если IP адрес/подсеть не с сомнительной репутацией, есть корректные PTR и SPF
> записи, то в подавляющем большинстве случаев этого должно быть достаточно для

нет. Ты опоздал с разморозкой лет на десять-пятнадцать. Этого почти достаточно (но не всегда) чтобы твоя почта хотя бы вообще принялась а не reject еще во время сессии с уг-лем каким.
А что она не ляжет в спам - тебе никто не обещает.

> нормальной доставляемости почты. Даже DKIM и, тем более, DMARC не особо
> нужны.

dmark он для другого нужен. ВНЕЗАПНО, spf (by design! Вот такие виликие умы его надизайнили в уг-ле) не является поводом НЕ принимать мусор от твоего имени. В результате ты без dkim можешь получить громадный поток сообщений о недоставке поддельных писем с твоего адреса, хотя в spf четко указано не принимать этот хлам. С последствиями еще и в виде вноса твоего домена в черные списки вместо первоисточника хлама.
(для этого, понятно, надо иметь адрес не васян@domain.sucks, но у меня к примеру таких сколько-то есть среди прочих)

При этом мне валится чудовищный поток хлама от...правильно, серверов уг. Похоже корпоративные (на стыренных кредитках) акки там теперь могут релеить свой мусор напрямую через их серверы. И разумеется писать на уг-ловый абьюз давным-давно бесполезно, его даже роботы не читают.

1.3, Аноним (3), 13:56, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–8 +/–
А ведь и в 2026 году кто-то начинает писать код на си.

2.7, Аноним (15), 14:25, 13/05/2026 [^] [^^] [^^^] [ответить]	+3 +/–
Потому что не терпит сакральности?

2.25, 12yoexpert (ok), 16:01, 13/05/2026 [^] [^^] [^^^] [ответить]	+/–
и слова богу нашему православному импортному

1.5, Аноним (5), 14:16, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
"настройка сервера через SMTP, очень дорого!" 😁

1.6, Аноним (15), 14:23, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Оперативно. Опять forky запаздывает. https://security-tracker.debian.org/tracker/CVE-2026-45185

1.8, Xasd1 (?), 14:31, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> но надеются, что в будущем другие исследователи смогут довести их работу до конца и написать полноценно работающий эксплоит ну чтож, дело хорошее

1.10, Аноним (10), 14:36, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]

–2 +/–

Exim 4.97 был выпущен в ноябре 2023го и бекдор успешно проработал 2.5 года.

> Проблема вызвана обращением к уже освобождённой памяти (use-after-free) в бэкенде к GnuTLS

Не удивительно.

В общем ситуация типичная для Eximʼа.

1.12, онанист (?), 14:36, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
опять?

1.13, нах. (?), 14:37, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
где ж mythos?

2.20, Жироватт (ok), 15:17, 13/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Токенов не хватило. Эксплоит писал локальный INDU-OS

1.16, Аноним (16), 15:07, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А ведь еще не так давно сабж ставился по умолчанию при установке десктопного линукса как локальный MTA. Правда в разных дистрах по-разному было, где-то мог быть postfix.

1.18, aname (ok), 15:11, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
> Проблема проявляется начиная с ветки Exim 4.97 при сборке с библиотекой GnuTLS ("USE_GNUTLS=yes") и устранена в выпуске Exim 4.99.3. Сборки с OpenSSL и другими библиотеками, отличными от GnuTLS, уязвимость не затрагивает. Хехмда. Тысячи глаз®™©.

2.27, нах. (?), 16:22, 13/05/2026 [^] [^^] [^^^] [ответить]

+/–

>> Проблема проявляется начиная с ветки Exim 4.97 при сборке с библиотекой GnuTLS

то есть примерно у никого.
расходимся, не на что тут смотреть.

1.30, Аноним (29), 17:29, 13/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Exim never changes... Исторически использую только Postfix, проблем не знаю.

1.33, Аноним (33), 17:49, 13/05/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–1 +/–

игнорирование участников | лог модерирования

Добавить комментарий

Текст: