В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьезная уязвимость в популярном почтовом сервере Exim. Идентифицированная под номером BDU:2026-00906 и CVE-2025-67896, она представляет критическую опасность, поскольку позволяет удаленному злоумышленнику полностью захватить контроль над уязвимой системой. Соответственно, администраторам настоятельно рекомендуется немедленно принять меры.
Детали уязвимости
Суть проблемы заключается в ошибке типа "переполнение буфера в динамической памяти". Технически эта уязвимость классифицируется как CWE-122. Если кратко, некорректная обработка данных в памяти позволяет удаленно выполнить произвольный код. Как следствие, атакующий может не только вызвать отказ в обслуживании, но и получить полные права на систему. Это открывает путь для установки вредоносного программного обеспечения, кражи конфиденциальной информации или создания точки постоянного присутствия (persistence) в корпоративной сети.
Уязвимость затрагивает все версии Exim до 4.99.1. Важно отметить, что Exim, распространяемый под лицензией GNU General Public License, является одним из наиболее распространенных почтовых серверов в мире. Он активно используется в инфраструктурах многих интернет-провайдеров и крупных компаний. Поэтому масштаб потенциальной угрозы оценивается как чрезвычайно высокий. На данный момент точный список операционных систем и платформ, на которых проявляется ошибка, уточняется, однако можно предположить, что риск касается всех дистрибутивов.
Уровень опасности подтверждается максимальными оценками по шкалам CVSS. Базовая оценка CVSS 2.0 составляет 10.0, что соответствует критическому уровню. Более современная метрика CVSS 3.1 присваивает уязвимости 9.8 балла из 10. Такие высокие показатели обусловлены тем, что для эксплуатации уязвимости не требуется ни аутентификации злоумышленника в системе, ни взаимодействия с пользователем. Другими словами, атака возможна удаленно без каких-либо предварительных условий.
Производитель, команда разработчиков Exim, уже подтвердил наличие уязвимости и оперативно выпустил исправление. Таким образом, единственной эффективной мерой защиты является немедленное обновление программного обеспечения до версии, где ошибка исправлена. Специалисты рекомендуют обратиться к официальной документации по ссылке, указанной в BDU.
На текущий момент информация о наличии публичных эксплойтов уточняется. Однако история подобных инцидентов показывает, что для критических уязвимостей в распространенном ПО такие инструменты появляются очень быстро. Следовательно, окно для безопасного обновления может быть крайне ограниченным. Активность киберпреступных группировок, включая APT, в подобных ситуациях традиционно высока.
В качестве способа эксплуатации в BDU указано манипулирование структурами данных. Это означает, что атака, вероятно, связана с отправкой специально сформированного вредоносного письма или запроса к почтовому серверу. Такой запрос, содержащий искаженные данные, приводит к переполнению буфера и позволяет исполнить произвольный код полезной нагрузки (payload) злоумышленника. После этого система оказывается под полным контролем атакующего.
Для организаций, использующих Exim, критически важно безотлагательно проверить версию развернутого почтового сервера и инициировать процесс обновления. Временные меры, такие как ограничение доступа к сервису из внешних сетей, могут рассматриваться только как краткосрочное решение. При этом необходимо понимать, что они негативно влияют на работоспособность бизнес-процессов. Поэтому полное устранение риска достигается исключительно установкой патча.
В заключение, уязвимость BDU:2026-00906 (CVE-2025-67896) в Exim служит очередным напоминанием о важности своевременного управления обновлениями. Учитывая критический характер угрозы и широкое распространение уязвимого программного обеспечения, данному инциденту следует уделить первоочередное внимание. Оперативное применение исправлений - это ключевой шаг для защиты инфраструктуры от потенциально масштабных кибератак.
Ссылки
- https://bdu.fstec.ru/vul/2026-00906
- https://www.cve.org/CVERecord?id=CVE-2025-67896
- https://exim.org/static/doc/security/EXIM-Security-2025-12-09.1/report.txt
- https://www.openwall.com/lists/oss-security/2025/12/11/2
