Уязвимость BDU:2025-01904

Идентификатор: BDU:2025-01904.

Наименование уязвимости: Уязвимость функций SQLite hints и ETRN serialization почтового сервера Exim, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функций SQLite hints и ETRN serialization почтового сервера Exim связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированного SQL-запроса
Уязвимое ПО: Сетевое программное средство GNU General Public License exim до 4.98.1 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 22.02.2025.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— использование средств межсетевого экранирования уровня веб-приложений (WAF);
— использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;
— использование «белого» списка IP-адресов для ограничения доступа к веб-интерфейсу уязвимого программного обеспечения.

Использование рекомендаций:
https://exim.org/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-26794.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://exim.org/
https://github.com/OscarBataille/CVE-2025-26794