В почтовом сервере Exim, который используется на значительной части веб-серверов по всему миру, обнаружена критическая уязвимость. Она получила идентификатор CVE-2026-45185 и оценку 9,8 балла по шкале CVSS 3.1. Речь идёт об ошибке, которая даёт возможность удалённому злоумышленнику перехватить управление сервером или добиться его неработоспособности.
Проблема затрагивает все версии Exim от 4.97 до 4.99.2 включительно. Ключевое условие - сборка должна использовать библиотеку GnuTLS (свободный набор криптографических инструментов). Если сервер использует OpenSSL или другие TLS-библиотеки, он не подвержен этой уязвимости. Вектор атаки связан с механизмом фрагментированной передачи данных CHUNKING и командами BDAT (Block Data - блок данных в расширении протокола SMTP).
Как работает атака
Уязвимость кроется в ошибке типа use-after-free ("использование после освобождения"). Когда сервер получает по одному TCP-соединению (протокол управления передачей) серию сообщений, клиент может отправить close_notify ("уведомление о закрытии") в середине передачи тела письма. Затем злоумышленник присылает один завершающий байт в открытом виде на то же самое соединение. В результате код Exim некорректно обрабатывает освобождённую область памяти. Это ведёт к повреждению кучи (области динамического распределения памяти). При правильной компоновке атакующий может выполнить произвольный код.
Такой сценарий не требует аутентификации. Злоумышленнику лишь нужно установить сетевое соединение с уязвимым почтовым сервером. Ввиду того, что Exim занимает одну из лидирующих позиций среди почтовых агентов в Unix-системах, масштаб потенциальных жертв огромен. Под ударом могут оказаться как хостинг-провайдеры, так и корпоративные почтовые системы, государственные учреждения и любые интернет-сервисы, использующие эту программу.
Почему это важно
В контексте последних инцидентов в сфере кибербезопасности особенно тревожит тот факт, что уязвимость критического уровня обнаружена в базовом компоненте интернет-инфраструктуры. Exim является составной частью многих дистрибутивов Linux и BSD-систем. Он обрабатывает миллионы писем ежедневно. Успешное использование этой проблемы может привести к полной компрометации сервера, утечке внутренней переписки, доступу к конфиденциальным данным и даже использованию заражённой машины для проведения других кибератак - например, как шлюз для проникновения в локальную сеть.
Кроме того, атака может вызвать отказ в обслуживании. Причём, по всей видимости, механизмы защиты вроде IDS/IPS (систем обнаружения и предотвращения вторжений) не всегда смогут распознать такую атаку, поскольку она использует штатные функции протокола SMTP. Злоумышленник может целенаправленно выводить из строя почтовые серверы организации, парализуя корпоративную коммуникацию.
Что делать
Разработчики Exim оперативно выпустили исправление в версии 4.99.3. Всем администраторам настоятельно рекомендуется обновить почтовый сервер как можно скорее. Процесс обновления не должен вызвать серьёзных затруднений: необходимо скачать свежую версию с официального сайта Exim и пересобрать программу с учётом текущей конфигурации. Перед этим стоит убедиться, что в параметрах сборки используется GnuTLS (флаг USE_GNUTLS=yes), так как только такие билды подвержены риску.
Если по каким-то причинам немедленное обновление невозможно, следует рассмотреть временные меры: отключить поддержку расширения CHUNKING в настройках конфигурационного файла Exim. Однако такое решение может нарушить взаимодействие с другими почтовыми системами, поскольку CHUNKING используется для оптимизации передачи больших писем. В любом случае, как только появится возможность, установку патча откладывать не стоит.
Стоит отметить, что подобные уязвимости возникают не каждый день. Однако они напоминают: даже зрелое программное обеспечение может содержать скрытые дефекты, которые при определённых условиях становятся смертельно опасными. Текущая проблема - ещё один повод пересмотреть процессы управления обновлениями в своей организации.
На данный момент сообщений о массовой эксплуатации CVE-2026-45185 в открытых источниках нет. Но, учитывая критический характер и простоту атаки, можно ожидать, что в ближайшее время киберпреступники начнут активно искать уязвимые серверы. Администраторам следует действовать на опережение.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-45185
- https://www.exim.org/static/doc/security/EXIM-Security-2026-05-01.1/EXIM-Security-2026-05-01.1.txt
- https://exim.org/static/doc/security/CVE-2026-45185.txt
