将 Exim4 升级到官方补丁版本后修复CVE-2019-10149脆弱性(即exim4_4.89-2+deb9u4)在我的 Debian 稳定服务器上,我仍然得到“消息冻结”警告关于可疑的电子邮件。
这是意料之中的事吗?还是应该默默丢弃这些可疑的电子邮件?我似乎无法理解补丁影响这种行为 - 我认为这样的电子邮件会触发这种!parse_extract_address(…)条件,因此被记录和拒绝,但事实似乎并非如此?
答案1
正如解释的那样安全通告,在示例中问题链接在 OP 中,攻击者试图通过设置大于 Exim 默认值(30)的标头RECIP_FAIL_LOOP数量来触发。Receivedreceived_headers_max
以下是 Exim4 在这种情况下所做的事情:
case RECIP_FAIL_LOOP:
new->message = US"Too many \"Received\" headers - suspected mail loop";
post_process_one(new, FAIL, LOG_MAIN, EXIM_DTYPE_ROUTER, 0);
break;
也就是说,当攻击者试图利用此漏洞时,Exim 会向邮件管理员发送警告邮件。但这并不是漏洞所在,因此补丁并未修改此代码。
该漏洞本身位于以下if区块中,已由补丁。
因此,预计将会收到大量有关尝试利用此漏洞的报告。