Der Open Source Mail Transfer Agent (MTA) Exim weist mehrere schwerwiegende ungepatchte Schwachstellen auf. Besonders kritisch ist eine Buffer Overflow Schwachstelle in der SMTP-Implementierung, CVE-2023-42115, die einer entfernten, unauthorisierten angreifenden Person gegebenenfalls das Ausführen von Code mit Rechten des Service Accounts, mit dem Exim betrieben wird, ermöglicht. Sie erreicht daher eine CVSS-Bewertung von 9.8 ("kritisch"). In Folge der Code-Ausführung könnte es Angreifenden unter anderem möglich sein, sensible Daten inkl. transportverschlüsselter E-Mails abfließen zu lassen.

Die Schwachstellen wurden im Juni 2022 an den Hersteller gemeldet und nach Ablauf des für die Entwicklung von Patches eingeräumten Zeitfensters durch die Zero Day Initiative am 27.9.2023 veröffentlicht,ohne dass Patches zur Verfügung stehen. Zur Zeit ist unbekannt, ob und wie die in Entwicklung befindliche Exim-Version 4.97 die Schwachstellen schließen wird.

Update 1:

Mittlerweile wurden Sicherheitsupdates in einem geschützten Repository für die Distributoren von dem Hersteller veröffentlicht, welches die kritischen Schwachstellen behebt . Die Versionen 4.96.1 und 4.97 beheben die Schwachstellen. Zudem wurden vom Hersteller weitere Details bekannt gegeben, welche beschreiben wie die Schwachstelle ausgenutzt werden kann.