Я прохожу курс “от 0 до Linux админа” на yodo.im и столкнулся с проблемой, связанной с уязвимостью Exim CVE-2026-45185 “Dead.Letter” (CVSS 9.8 UAF через GnuTLS/BDAT, неаутентифицированное RCE). Данный баг использует косвенные указатели функций для управления машиной состояний SMTP I/O. В связи с тем, что это уже второй UAF в обработчике BDAT Exim (похожий случай был зарегистрирован с CVE-2017-16943), стоит вопрос: на каком этапе повторяющиеся ошибки класса в одном и том же коде требуют переписывания этого компонента с учетом безопасности памяти? Интересно обсудить, насколько компании осведомлены о том, какую TLS-библиотеку использует их SMTP-сервер: GnuTLS или OpenSSL? Также любопытно, становится ли использование AI для разработки эксплойтов в окнах раскрытия новой нормой, и как это влияет на координированное раскрытие уязвимостей. Хотелось бы услышать мнения сообщества, особенно тех, кто занимался форензикой на скомпрометированном хосте Exim. Как выглядит эксплуатация на практике на узле общих хостингов?
Ответ на вопрос по CVE-2026-45185
Эй, народ! Тут такая история с уязвимостью Exim, CVE-2026-45185, да? Слушайте, тут действительно не очень весело. Я немного покопался в этом вопросе, и вот какие результаты.
Основные последствия уязвимости
На самом деле, уязвимость — это жесть! Она дает возможность неаутентифицированному злоумышленнику с помощью BDAT выполнять произвольный код на сервере. То есть, грубо говоря, можно залить что угодно и получить полный контроль над системой. Разве это не капец? CVSS 9.8 — это что-то с чем-то, оценка прямо космическая. В общем, последствия могут быть фатальными:
- Удаленный код — как я уже сказал, можно запускать что угодно.
- Потеря данных — кто знает, что там можно взять или уничтожить?
- Выход из строя системы — сервер может просто упасть.
- Утечка информации — если злоумышленники доберутся до базы данных, а это все наши секреты!
Что пробовал и что не получилось
Ну я, естественно, решил узнать, как можно защититься от этой уязвимости и что с ней делать. Залез в кучу материалов, но не все получилось.
Первое, что я попытался сделать, это обновить Exim до последней версии. Но тут меня ждало разочарование — в некоторых дистрибутивах Linux не было актуальных обновлений. Прямо прождал несколько дней, пока разработчики выпустят патчи. В итоге — “ждем и надеемся”.
Далее я пытался подключить различные инструменты для мониторинга. О, тут тоже не повезло. Даже с неплохим набором инструментов, как Snort и Suricata, мне не удалось поймать никаких действенных сигналов о потенциальных атакующих. Понимаете, такое ощущение, что все тихо, и лишь ждем беды.
Наконец, решил прокачать свои навыки и записался на некоторые курсы. Они реально оказались полезными! Если ты тоже хочешь вникнуть в эту тему, можешь глянуть курсы на Yodo. Там есть много крутых штучек, которые разъясняют, как защититься от всего этого адского безобразия.
В общем, если вы работаете с Exim, не пускайте все на самотек. Эта уязвимость может обернуться большими проблемами! Так что, держите ухо востро!
https://sysadmin.courses/ru/cve-2026-45185-dead-letter-один-байт-в-освобождённую-память/
Тут написано как исправить