Исследователи из Qualys Research Labs обнаружили, что в exim версий 4.87 - 4.91 (включительно) существует возможность локального и удаленного выполнения произвольных команд с привилегиями пользователя, под котороым запущен сервер. Ошибка вызвана недостаточной валидацией адреса получателя письма и содержится в файле /src/deliver.c в коде функции deliver_message().

6122 #ifndef DISABLE_EVENT
6123       if (process_recipients != RECIP_ACCEPT)
6124         {
6125         uschar * save_local =  deliver_localpart;
6126         const uschar * save_domain = deliver_domain;
6127
6128         deliver_localpart = expand_string(
6129                       string_sprintf("${local_part:%s}", new->address));
6130         deliver_domain =    expand_string(
6131                       string_sprintf("${domain:%s}", new->address));
6132
6133         (void) event_raise(event_action,
6134                       US"msg:fail:internal", new->message);
6135
6136         deliver_localpart = save_local;
6137         deliver_domain =    save_domain;
6138         }
6139 #endif

Проблема была исправлена в версии 4.92, которая вышла 10-го февраля 2019. Но тогда баг 2310 не был классифицирован как проблема с безопасностью и дистрибутивы не обновили пакеты.

По мнению исследователей, удаленная эксплуатация возможна при условии, что атакующий будет в состоянии удерживать активное соединение с почтовым сервером в течение 7-ми дней (путем передачи по одному байту каждые несколько минут). Тем не менее, сообщается о массовых взломах утром 10-го июня, когда многие обнаруживали на своих серверах процесс с именем kthrotlds, занятый майнингом крипотовалюты.

Примечательно, что CentOS 5, в состав которой входит exim-4.63, оказалась неуязвимой.

Уязвимость получила код CVE-2019-10149