Exim SMTP Mail Server漏洞预警

1. Exim远程命令执行漏洞

2018年2月5日，有安全研究人员向Exim报告了4.90.1之前版本的Exim SMTP Mail Server存在一个缓冲区溢出漏洞，对应CVE编号：CVE-2018-6789，通过对该漏洞的利用可能实现远程命令执行效果，2月10日，Exim发布了补丁和安全公告，相关信息链接：

https://exim.org/static/doc/security/CVE-2018-6789.txt

2018年3月6日，漏洞发现者DEVCORE公开了漏洞利用细节：

https://devco.re/blog/2018/03/06/exim-off-by-one-RCE-exploiting-CVE-2018-6789-en/

根据公告，缓冲区溢出通过base64()　函数的调用触发，是一个内存越界读的堆溢出漏洞，针对Debian和Ubuntu上实际运行Exim SMTP Mail Server测试显示，漏洞的成功利用同时绕过了ASLR、PIE、NX等系统通用系统缓解措施，建议对互联网部署有4.90.1之前版本的用户及时升级到4.90.1版本。

2. 网络上Exim部署开放情况

全球分布

通过安恒研究院sumap平台查询，全球Exim SMTP Mail Server主要分布情况如下，包含SMTP_SSL的 465端口和SMTP 25端口。可以看到美国最多。

国内分布

通过安恒研究院sumap平台查询，国内Exim SMTP Mail Server主要分布情况如下，包含SMTP_SSL的 465端口和SMTP 25端口。可以看到中国香港地区最多。

3. 漏洞影响版本范围

CVE-2018-6789漏洞：4.90.1之前的版本存在漏洞，公布的漏洞利用测试版本是4.89/4.88，官方推荐更新到4.90.1版本，目前网上已经公开了漏洞细节，建议及时更新到漏洞修复后版本，下载地址：

下载地址：

https://www.exim.org/mirmon/ftp_mirrors.html

3. 漏洞缓解措施

高危：目前漏洞细节已经公开，建议及时升级到无漏洞新版本或使用安全防护设备拦截恶意攻击包（针对缓冲区溢出漏洞利用的Payload攻击包）。

明鉴远程安全评估系统支持该漏洞的检测，有需要检测的用户可以申请。