Exim 4.99.1 メールサーバのパッチが公開されました。このパッチでは、リモート攻撃者が境界外メモリを破壊できる脆弱性(CVE-2025-67896)が修正されています。この脆弱性はサーバ上でのリモートコード実行に悪用される可能性がありますが、有効なエクスプロイトはまだ開発されていません。
この脆弱性は、時間情報、メッセージ配信ステータス、メール送信レートデータの保存に使用される、内部SQLiteベースのデータベース(Hints DB)のコードに存在します。この問題は、データベースレコードが適切な検証なしに内部の「dbdata_ratelimit_unique」構造に直接変換されることに起因します。これは、40バイトの固定長「bloom」配列が作成される際に発生します。「bloom_size」フィールドの内容は、配列に書き込まれる要素数を決定するため、データベースデータのサイズに依存します。攻撃者は、別の脆弱性を悪用し、「bloom_size」フィールドを意図的に配列サイズよりも大きな値に設定してデータベースにデータを挿入することで、割り当てられたバッファを超えて書き込みを行う可能性があります。
この問題はExim 4.99および4.98.2に影響し、レート制限ACLで「unique」または「per_addr」パラメータ(例:「warn ratelimit = 100 / 1h / per_addr / $sender_address」または「warn ratelimit = 100 / 1h / per_rcpt / unique=$sender_address」)を使用する設定にのみ影響します。さらに、攻撃を実行するには、EximをSQLiteサポート(USE_SQLITE=yes)を有効にしてコンパイルし、設定ファイル(hints_database = sqlite)で設定する必要があります。脆弱な設定では、「exim -bV」を実行すると「Hints DB: Using sqlite3」という出力が表示されます。
主要なディストリビューションのうち、問題のあるバージョンが使用されました。 Debian 13、 Ubuntu 25.10、SUSE/openSUSE、Arch LinuxFedora、FreeBSDなどがこの問題の影響を受けます。RHELとその派生ディストリビューションは、Eximが標準パッケージリポジトリに含まれていないため、この問題の影響を受けません(EPELはまだEximパッケージのアップデートを公開していません)。
Exim 4.98.1の2月のリリースで修正された脆弱性CVE-2025-26794を悪用する新たなベクトルも特定されました。この脆弱性により、内部データベース(Hints DB)でのSQL置換が可能になります。以前追加された修正では、シングルクォーテーションをエスケープできませんでした。SQL置換につながるMAIL FROMコマンドの例:"MAIL FROM:<«x'/**/UNION/**/SELECT/**/X' '—«@attacker.com>»。この脆弱性は、前述のバッファオーバーフローの条件を作り出すための出発点として利用される可能性があります。
出所: オープンネット.ru
