Опубликован корректирующий выпуск почтового сервера Exim 4.99.2, в котором устранено 4 уязвимости:
- CVE-2026-40685 - переполнение буфера на чтение и запись при обработке JSON-данных в заголовке письма.
- CVE-2026-40686 - чтение данных из области вне границ буфера при обработке специально оформленных символов UTF-8 в конце заголовков. Уязвимость может привести к утечке данных из памяти в возвращаемых сообщениях об ошибках.
- CVE-2026-40687 - переполнение буфера на чтение и запись в конфигурациях, использующих драйвер аутентификации SPA (Simple Password Authentication). Уязвимость может быть эксплуатирована при обращении к подконтрольному атакующему серверу SPA/NTLM.
- CVE-2026-40684 - аварийное завершение процесса при обработке специально оформленных данных в DNS-записях PTR. Уязвимость проявляется только на системах с musl libc.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65334
