かなりひどいExim の脆弱性について警告してくれた25230 メンバー@active8に感謝します。

この脆弱性により、リモートの攻撃者が影響を受けるEximインストール上で任意のコードを実行する可能性があります。この脆弱性を悪用するために認証は必要ありません。

うわあ。もし私がEximの発行者だったら、すぐに飛びつくでしょうね。特に数年前、Eximは21件もの脆弱性を一度に公開され、大変な恥をかいた経験がありますからね。

残念なことに、ベンダーは次のことを行っていませんでした。

2022 年 6 月 6 日 – ZDI が PSIRT への連絡をリクエストしました。

2022年6月14日 – ZDI はベンダーに脆弱性を報告しました。

2023年4月25日 – ZDI が最新情報を要求しました。

2023 年 4 月 25 日 – ベンダーからレポートの再送信を依頼されました。

2023 年 5 月 10 日 – ZDI は脆弱性をベンダーに送信しました。

2023 年 9 月 25 日 – ZDI は最新情報を要求し、この事例を 2023 年 9 月 27 日にゼロデイ アドバイザリとして公開する予定であることをベンダーに伝えました。

この問題の修正プログラムが利用可能です。Postfixと呼ばれています。

更新: 6 つの0day エクスプロイトについて言及しているこのリンクを送信してくれた匿名の読者に感謝します。