После обновления Exim4 до официальной исправленной версии исправление CVE-2019-10149 уязвимость (т.е. exim4_4.89-2 + deb9u4) на моем стабильном сервере Debian, я все еще получаю Предупреждения "Сообщение заблокировано" о подозрительных письмах.
Ожидается ли это, или эти подозрительные электронные письма следует игнорировать? Я не могу понять как патч влияет на это поведение - я предполагаю, что такие электронные письма вызовут !parse_extract_address(…)
состояние и, следовательно, быть зарегистрированным и отклоненным, но, похоже, это не так?
Как объяснено в совет по безопасности, в примере вопрос связан в OP, злоумышленник пытается вызвать RECIP_FAIL_LOOP
установив количество Received
заголовки больше, чем по умолчанию Exim received_headers_max
значение (30).
Вот что делает Exim4 в этом случае:
case RECIP_FAIL_LOOP:
new->message = US"Too many \"Received\" headers - suspected mail loop";
post_process_one(new, FAIL, LOG_MAIN, EXIM_DTYPE_ROUTER, 0);
break;
То есть, когда злоумышленник пытается использовать эту уязвимость, Exim отправляет письмо с предупреждением почтмейстеру. Но уязвимость не в этом, поэтому этот код не был изменен патчем.
Сама уязвимость заключается в следующем if
блок, который был исправлен патч.
Поэтому ожидается получение многочисленных сообщений о попытках использования данной уязвимости.