Exim a publié une mise à jour critique qui corrige une vulnérabilité post-mémoire-liberté (utilisation-après-libre) dans l'analyse du corps du message BDAT lorsque la batterie TLS est mise en œuvre avec GnuTLS. Identifiée comme CVE-2026-45185 (Lettre morte), l'échec permet à un client qui peut établir une connexion TLS pour causer la corruption de tas et potentiellement exécuter le code à distance sans authentification, en profitant de l'extension CHUNKING (BDAT) du protocole SMTP.
Du point de vue technique, l'erreur apparaît pendant la séquence de fermeture TLS : si un client envoie une alerte close _ avise avant de terminer le transfert BDAT et injecte ensuite un octet texte clair sur la même connexion TCP, Exim peut finir par écrire sur un tampon déjà libéré. Ce seul octet écrase les métadonnées d'assignation de mémoire, qui ouvre la voie à des techniques d'exploitation qui étendent la corruption en primitifs utiles pour un attaquant. La découverte a été signalée par Federico Kirschbaum de XBOW le 1er mai 2026 et la correction a été incluse dans la version 4.99.3.
La vulnérabilité affecte Séries exim de 4.97 à 4.99.2, mais à une exception importante: n'affecte que les binaires compilés avec USE _ GNUTLS = oui. Les déploiements utilisant d'autres bibliothèques TLS comme OpenSSL ne sont pas affectés par cette défaillance particulière. Cela oblige les administrateurs à vérifier non seulement la version du paquet, mais aussi comment leur Exim a été compilé.
Le fonctionnement de l'échec ne nécessite aucun privilège préalable ni authentification, et se fonde uniquement sur la capacité de négocier une session TLS et d'utiliser BDAT. Dans la pratique, cela signifie que les serveurs de messagerie exposés qui annoncent CHUNKING dans leur réponse EHLO et qui ont été compilés avec GnuTLS peuvent être attaqués à partir du réseau. Comme la séquence nécessaire est relativement simple et que l'échec modifie les structures internes du localisateur, les chercheurs l'appellent un risque très élevé.
Les recommandations immédiates sont claires : mettre à jour Exim vers la version 4.99.3 dès que possible. Il n'y a pas d'atténuation complète pour remplacer le patch selon l'avis du projet, donc rester dans les versions précédentes laisse l'infrastructure en danger. Si vous ne pouvez pas appliquer la mise à jour immédiatement, envisagez des mesures d'atténuation temporaires jusqu'à ce qu'il soit possible de vous garer : restreindre l'accès des clients peu fiables au service SMTP au moyen de listes de contrôle et de pare-feu, supprimer temporairement le support TLS basé sur GnuTLS ou ajouter Exim en utilisant une autre bibliothèque TLS (p. ex. OpenSSL) si cela est possible dans votre environnement.
Pour vérifier rapidement la version TLS et la configuration de votre installation, vous pouvez exécuter les commandes Exim pour afficher la version installée et, dans de nombreux systèmes, vérifier si Exim a été compilé avec GnuTLS. Une approche pratique est de consulter la sortie exim -bV ou la documentation d'emballage système, et de vérifier si votre serveur annonce CHUNKING dans la négociation EHLO. En outre, moniteur annonces par redémarrage inattendu, le noyau s ou les modèles BDAT combinés avec les fermetures TLS, car les tentatives d'exploitation peuvent laisser des traces dans les enregistrements de connexion et les défaillances de processus.
Dans le plan opérationnel à moyen terme, il convient d'intégrer ces actions : mettre en œuvre la gestion des stocks qui distingue non seulement les versions logicielles mais les options de compilation, automatiser les tests dans les environnements de mise en scène avant de déployer des mises à jour critiques, et examiner la surface d'exposition au service SMTP (quels ports et quels clients sont autorisés). Il est également recommandé d'avoir une détection basée sur la signature et une analyse du trafic TLS / SMTP pour identifier les séquences inhabituelles liées à BDAT et fermer _ notification.
Cet épisode rappelle des précédents dangereux: Exim avait déjà corrigé une utilisation post-libre extrêmement critique en 2017 (CVE-2017-16943), ce qui a permis l'exploitation à distance par BDAT. La récurrence des échecs de gestion du BDAT souligne la complexité de la mise en œuvre des extensions de protocole qui interagissent avec les fermetures de sessions TLS et la gestion des tampons. La mise à jour des bibliothèques TLS et MTA est une mesure préventive essentielle.
Vous pouvez trouver la version et les ressources du projet Exim sur votre site officiel https: / / www.exim.org / et consulter le registre de vulnérabilité dans la base de données sur la vulnérabilité nationale https: / / nvd.nist.gov / vuln / detail / CVE-2026-45185. Pour en savoir plus sur les bibliothèques TLS ci-dessus, voir https: / / www.gnutls.org / et https: / / www.openssl.org /.
En bref: identifier les hôtes exécutés Exim compilés avec GnuTLS, prioriser la mise à jour à Exim 4.99.3, surveiller les signes d'exploitation dans les dossiers et, si vous ne pouvez pas vous garer immédiatement, appliquer des contrôles d'accès et envisager des solutions de compilation temporaire pour réduire l'exposition. La gravité et la simplicité de la séquence exploitable font de cette vulnérabilité une priorité pour les gestionnaires de courrier dans la production.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...