Exim 邮件服务器中存在一个严重漏洞,使得攻击者能够将恶意可执行附件传递到邮箱。攻击者可以利用 Exim 邮件传输代理中跟踪为 CVE-2024-39929(CVSS 评分为 9.1)的严重安全漏洞,将恶意附件传递到目标用户的收件箱。Exim 是一种广泛使用的邮件传输代理 (MTA),旨在路由、传递和接收电子邮件。Exim 最初是为类 Unix 系统开发的,以其灵活性和可配置性而闻名,允许管理员通过配置文件广泛自定义其行为。Exim 4.97.1 及以下版本受到一个漏洞的影响,该漏洞会误解多行 RFC 2231 标头文件名。此缺陷允许远程攻击者绕过 $mime_filename 扩展名阻止保护,从而可能将可执行附件传递到用户邮箱。该漏洞被跟踪为 CVE-2024-39929,CVSS 评分为 9.1 分(满分 10.0 分)。此问题已在版本 4.98 中得到解决。“Exim 通过 4.97.1 错误地解析了多行 RFC 2231 标头文件名,因此远程攻击者可以绕过 $mime_filename 扩展名阻止保护机制,并可能将可执行附件传递到最终用户的邮箱,”公告中写道。根据网络安全公司 Censys 的数据,有 6,540,044 台面向公众的 SMTP 邮件服务器,其中 4,830,719 台 (~74%) 正在运行 Exim。Censys 研究人员表示,存在针对此问题的概念验证 (PoC) 漏洞,但目前还没有已知的活跃漏洞利用。“截至 2024 年 7 月 10 日,Censys 观察到 1,567,109 台公开暴露的 Exim 服务器运行着可能易受攻击的版本(4.97.1 或更早版本),主要集中在美国、俄罗斯和加拿大。到目前为止,有82台面向公众的服务器显示出运行4.98补丁版本的迹象。该公司发布了一组查询,允许识别运行受此 CVE 影响的潜在易受攻击版本的 Censys 可见的面向公众的 Exim 实例。
