根据Censys 的警告,超过 150 万个 Exim 邮件传输代理(MTA)实例容易受到一个严重的安全漏洞的影响,该漏洞被跟踪为 CVE-2024-39929。该漏洞影响 Exim 4.97.1 及以下版本,允许威胁行为者通过错误解析多行 RFC2231 头文件名来绕过安全过滤器。这样,远程攻击者可以将恶意可执行附件传递到用户的邮箱中,从而绕过 $mime_filename 扩展名阻止保护。
Censys 报告称,截至 2024 年 7 月 10 日,有 1,567,109 台公开暴露的 Exim 服务器运行着可能易受攻击的版本,主要集中在美国、俄罗斯和加拿大。尽管用户仍必须执行恶意附件才能受到影响,该漏洞允许传送通常被安全措施阻止的可执行文件。
为了降低风险,建议管理员立即升级 Exim。如果升级不可行,建议限制从 Internet 远程访问这些服务器,以防止攻击尝试。鉴于 Exim 的广泛使用,特别是作为 Debian Linux 的默认 MTA,该漏洞对全球联网服务器构成了重大风险。来源