Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-01904

Опубликовано: 22 фев. 2025
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Высокий

Описание

Уязвимость функций SQLite hints и ETRN serialization почтового сервера Exim связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированного SQL-запроса

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
GNU General Public License

Наименование ПО

РЕД ОС
Astra Linux Special Edition
exim

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
1.8 (Astra Linux Special Edition)
до 4.98.1 (exim)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений (WAF);
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;
- использование «белого» списка IP-адресов для ограничения доступа к веб-интерфейсу уязвимого программного обеспечения.
Использование рекомендаций:
https://exim.org/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
обновить пакет exim4 до 4.96-15+deb12u6.astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Для ОС Astra Linux:
обновить пакет exim4 до 4.96-15+deb12u5.astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.72088
Высокий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20250403-03

CVSS3: 7.5
redos
10 месяцев назад

Уязвимость exim

ubuntu логотип

CVE-2025-26794

CVSS3: 7.5
ubuntu
12 месяцев назад

Exim 4.98 before 4.98.1, when SQLite hints and ETRN serialization are used, allows remote SQL injection. (Resolving SQL injection requires an update to 4.99.1 in certain non-default rate-limit configurations.)

redhat логотип

CVE-2025-26794

CVSS3: 7.5
redhat
12 месяцев назад

Exim 4.98 before 4.98.1, when SQLite hints and ETRN serialization are used, allows remote SQL injection.

nvd логотип

CVE-2025-26794

CVSS3: 7.5
nvd
12 месяцев назад

Exim 4.98 before 4.98.1, when SQLite hints and ETRN serialization are used, allows remote SQL injection. (Resolving SQL injection requires an update to 4.99.1 in certain non-default rate-limit configurations.)

debian логотип

CVE-2025-26794

CVSS3: 7.5
debian
12 месяцев назад

Exim 4.98 before 4.98.1, when SQLite hints and ETRN serialization are ...

EPSS

Процентиль: 99%
0.72088
Высокий

7.5 High

CVSS3

7.8 High

CVSS2