Exim hat ein kritisches Update veröffentlicht, das bei der Analyse des BDAT-Nachrichtenkörpers bei der Implementierung der TLS-Batterie eine Nach-Memory-Release-Verwundbarkeit (use-after-free) korrigiert. GnuTLS. als CVE-2026-45185 (Dead.Letter), der Ausfall ermöglicht es einem Client, der eine TLS-Verbindung aufbauen kann, um Heap-Korruption zu verursachen und möglicherweise Remote-Code ohne Authentifizierung ausführen, unter Ausnutzung der CHUNKING (BDAT) Erweiterung des SMTP-Protokolls.
Aus technischer Sicht erscheint der Fehler während der TLS-Verschlussfolge: sendet ein Client vor Abschluss des BDAT-Transfers eine Close_Benachrichtigung aus und injiziert dann ein Klartextbyte auf derselben TCP-Verbindung, Exim kann das Schreiben auf einen bereits freigegebenen Puffer beenden. Dass nur Byte überschreibt Speicherzuweisung Metadaten, die den Weg zur Ausbeutung Techniken öffnet, die Korruption in nützliche Primitiven für einen Angreifer skalieren. Die Entdeckung wurde von Federico Kirschbaum von XBOW am 1. Mai 2026 berichtet und die Korrektur wurde in die Version aufgenommen 4.99.3.
Schwachstelle betrifft Exim series von 4.97 bis 4.99.2, aber mit einer signifikanten Ausnahme: nur Auswirkungen binäre kompiliert mit USE _ GNUTLS = ja. Die Bereitstellungen, die andere TLS-Bibliotheken wie OpenSSL verwenden, werden durch diesen Fehler nicht beeinträchtigt. Diese zwingt Administratoren, nicht nur die Paketversion zu überprüfen, sondern auch, wie ihre Exim erstellt wurde.
Der Betrieb des Ausfalls erfordert keine Vorrechte oder Authentifizierung und basiert nur auf der Fähigkeit, eine TLS-Sitzung zu verhandeln und BDAT zu verwenden. In der Praxis bedeutet dies, dass exponierte Mailserver, die CHUNKING in ihrer EHLO-Reaktion verkünden und mit GnuTLS zusammengestellt wurden, aus dem Netzwerk angegriffen werden können. Da die notwendige Sequenz relativ einfach ist und der Ausfall die internen Strukturen des Ortungsgeräts verändert, nennen die Forscher ein sehr hohes Risiko.
Die sofortigen Empfehlungen sind klar: update Exim to version 4.99.3 so bald wie möglich. Es gibt keine vollständige Minderung, um den Patch nach der Veröffentlichung des Projekts zu ersetzen, so dass der Rest in früheren Versionen die Infrastruktur gefährdet. Wenn Sie das Update nicht sofort anwenden können, beachten Sie vorübergehende Minderungsmaßnahmen, bis es möglich ist, zu parken: den Zugriff unzuverlässiger Kunden auf den SMTP-Service durch Kontrolllisten und Firewalls zu beschränken, TLS-Unterstützung basierend auf GnuTLS vorübergehend zu entfernen oder Exim mit einer anderen TLS-Bibliothek (z.B. OpenSSL) hinzuzufügen, wenn dies in Ihrer Umgebung möglich ist.
Um die TLS-Version und Konfiguration Ihrer Installation schnell zu überprüfen, können Sie Exim-Befehle ausführen, um die installierte Version anzuzeigen und in vielen Systemen überprüfen, ob Exim mit GnuTLS kompiliert wurde. Ein praktischer Ansatz ist es, die Exim-bV-Ausgabe- oder Systemverpackungsdokumentation zu konsultieren und zu überprüfen, ob Ihr Server CHUNKING in der EHLO-Verhandlung bekannt gibt. Außerdem überwachen Anzeigen durch unerwartete Neustart-, Kern- oder BDAT-Muster kombiniert mit TLS-Verschlüssen, da Versuche zu bedienen, Spuren in Verbindungsdatensätzen und Prozessausfällen hinterlassen können.
In der mittelfristigen operativen Ebene ist es angebracht, diese Maßnahmen einzubeziehen: Inventarmanagement zu implementieren, das nicht nur Softwareversionen, sondern Compilationsoptionen unterscheidet, Tests in Inszenierung von Umgebungen automatisieren, bevor kritische Updates bereitgestellt werden, und die SMTP-Service-Expositionsfläche (die Ports und die Kunden autorisiert sind) zu überprüfen. Es wird auch empfohlen, eine Signatur-basierte Erkennung und TLS / SMTP-Verkehrsanalyse zu haben, um ungewöhnliche Sequenzen im Zusammenhang mit BDAT zu identifizieren und zu schließen _ benachrichtigen.
Diese Episode erinnert an gefährliche Präzedenzfälle: Exim hatte bereits im Jahr 2017 eine extrem kritische After-free-Nutzung (CVE-2017-16943) gepatelt, die die Fernausbeutung durch BDAT ermöglichte. Die Wiederholung von BDAT-Management-Fehlern unterstreicht die Komplexität der Implementierung von Protokollerweiterungen, die mit TLS-Sitzverschlüssen und Puffer-Management interagieren. Die Aufrechterhaltung aktueller TLS- und MTA-Bibliotheken ist eine wesentliche präventive Maßnahme.
Die Veröffentlichung und Ressourcen des Projekts Exim finden Sie auf Ihrer offiziellen Website http://www.exim.org/ und konsultieren Sie das Sicherheitsregister in der nationalen Sicherheitsdatenbank in https: / / nvd.nist.gov / vuln / detail / CVE-2026-45185. Informationen zu den obigen TLS-Bibliotheken siehe http://www.gnutls.org/ und https: / / www.opensl.org /.
Kurz gesagt: identifizieren, welche Hosts Exim mit GnuTLS kompiliert laufen, priorisieren Sie das Update auf Exim 4.99.3, überwachen Sie die Zeichen der Ausbeutung in den Datensätzen und, wenn Sie nicht sofort parken können, wenden Sie Zugriffskontrollen an und betrachten temporäre Compilation Alternativen, um die Exposition zu reduzieren. Die Schwerkraft und Einfachheit der ausnutzbaren Sequenz machen diese Verwundbarkeit zu einer Priorität für Postmanager in der Produktion.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...