感谢ZHUJIMAO.COM成员@active8 提醒我们注意一个看起来非常严重的Exim漏洞:
此漏洞允许远程攻击者在受影响的 Exim 安装上执行任意代码。利用此漏洞无需身份验证。
哇。看来如果我是Exim的发布者,我会立刻采取行动。尤其是考虑到Exim几年前曾一次性发布了21个漏洞,那次事件让他们颜面尽失。
遗憾的是,供应商并没有这样做:
2022年6月6日 – ZDI 请求与 PSIRT 联系。
2022年6月14日 – ZDI 向供应商报告了该漏洞。
2023年4月25日 – ZDI要求提供最新进展。
2023年4月25日——供应商要求我们重新发送报告。
2023年5月10日 – ZDI 将该漏洞发送给了供应商。
2023年9月25日 – ZDI 要求提供最新进展,并告知供应商我们打算于2023年9月27日发布此案例作为零日漏洞公告。
这个问题已经有了解决方案,它叫做Postfix 。
更新:感谢一位匿名读者提供的链接,其中提到了六个零日漏洞。
