Назад | Перейти на главную страницу

По-прежнему получаются предупреждения «Сообщение заблокировано» после исправления критической уязвимости Exim CVE-2019-10149

После обновления Exim4 до официальной исправленной версии исправление CVE-2019-10149 уязвимость (т.е. exim4_4.89-2 + deb9u4) на моем стабильном сервере Debian, я все еще получаю Предупреждения "Сообщение заблокировано" о подозрительных письмах.

Ожидается ли это, или эти подозрительные электронные письма следует игнорировать? Я не могу понять как патч влияет на это поведение - я предполагаю, что такие электронные письма вызовут !parse_extract_address(…) состояние и, следовательно, быть зарегистрированным и отклоненным, но, похоже, это не так?

Как объяснено в совет по безопасности, в примере вопрос связан в OP, злоумышленник пытается вызвать RECIP_FAIL_LOOP установив количество Received заголовки больше, чем по умолчанию Exim received_headers_max значение (30).

Вот что делает Exim4 в этом случае:

   case RECIP_FAIL_LOOP:
     new->message = US"Too many \"Received\" headers - suspected mail loop";
     post_process_one(new, FAIL, LOG_MAIN, EXIM_DTYPE_ROUTER, 0);
     break;

То есть, когда злоумышленник пытается использовать эту уязвимость, Exim отправляет письмо с предупреждением почтмейстеру. Но уязвимость не в этом, поэтому этот код не был изменен патчем.

Сама уязвимость заключается в следующем if блок, который был исправлен патч.

Поэтому ожидается получение многочисленных сообщений о попытках использования данной уязвимости.