広く導入されているEximメール転送エージェント(MTA)の新たに公開された脆弱性は、インターネット向けのメールサーバ数千台が認証なしのリモートコード実行(RCE)のリスクにさらされています。
CVE-2026-45185として追跡され「Dead.Letter」と呼ばれるこの欠陥は、LinuxおよびUnix系システムで実行されているEximインストールを対象としており、企業、ISP、ホスティングプロバイダーが使用する重要なメールインフラストラクチャを公開しています。
この問題は、GnuTLSライブラリでコンパイルされ、STARTTLSとCHUNKING(BDAT)の両方をサポートするように構成されているEximバージョン4.97から4.99.2に特に影響します。
注目すべきは、OpenSSLを使用しているシステムは影響を受けず、管理者にとって重要な緩和方法を提供しています。
その核心では、CVE-2026-45185は、TLS暗号化されたSMTPセッションの処理中に発生するリモート悪用可能な解放後使用(UAF)脆弱性で、BDATチャンク化されたメッセージ処理と組み合わされています。
この欠陥は、Eximがメッセージ中のTLSシャットダウン信号を処理する際の不適切なメモリ処理から生じます。
クライアントがSTARTTLSを開始すると、Eximは4KBバッファを割り当てて、すべてのSMTPトラフィックをTLS対応入力ハンドラーにルーティングします。
しかし、BDATチャンキングが導入されると、Eximはこのパイプラインの上に追加の解析ロジックを層状に配置します。
脆弱性は、悪意のあるクライアントがアクティブなBDATセッション中にTLS close_notify信号を送信するときに発生します。
このシーケンスにより、EximはTLSバッファを解放しますが、内部コールバックポインターを完全にリセットできません。その結果、古い参照がアクティブなままで、割り当て解除されたメモリを指しています。
その後、BDAT解析中に、Eximはこの解放されたバッファに単一バイトを書き込もうとし、制御されたヒープ破損状態をトリガーします。
この欠陥は最初は1バイト書き込みプリミティブのみを提供しますが、研究者はそれを確実に完全なリモートコード実行にエスカレートできることを実証しました。Eximのカスタムメモリアロケーター(「store」)はこのエスカレーションで重要な役割を果たします。
アロケーターメタデータ、特にメモリブロックの長さフィールドを操作することにより、攻撃者はEximをメモリ境界の誤算に誘い込むことができます。
これにより、慎重に設計されたSMTP入力は隣接するメモリ構造(機密ポインターとコントロールデータを含む)を上書きできます。
セキュリティ研究者は複数の悪用パスを観察しました。制御された環境では、攻撃者はglibcヒープ操作とFILE構造上書きを活用して、リターン指向プログラミング(ROP)チェーンを実行しました。
ASLRなどの最新保護が有効な実際のシナリオでは、攻撃者は代わりにEximの内部関数ポインターをターゲットにして、ACL処理段階中のコマンド実行を実現しました。
重要なことに、悪用には認証が不要で、脆弱なGnuTLSとBDATの組み合わせ以外の特別な構成も必要ありません。攻撃面が大幅に増加します。
この脆弱性はまた、成長する傾向も強調しています。研究者は、自律的な大規模言語モデル(LLM)が動作中の悪用チェーンの生成を支援でき、公開から武器化までのタイムラインを加速できることを実証しました。
パッチの適用が実現不可能な場合、管理者は以下の方法で露出を減らすことができます:
詳細な技術開示と実証済みの悪用技術が利用可能であることを考えると、CVE-2026-45185は重大で優先度の高い脅威として扱われるべきです。
パッチが適用されていないシステムは、完全な侵害、無許可のメールアクセス、横方向の移動、およびエンタープライズ環境全体へのマルウェア配置のリスクにさらされています。
翻訳元: https://cyberpress.org/new-exim-vulnerability/
