Exim の GnuTLS バックエンドに深刻な UAF 脆弱性 CVE-N/A：認証不要の任意のコード実行

New Exim BDAT GnuTLS Vulnerability Enables Code Execution Attacks

2026/05/13 CyberSecurityNews — 現在インターネット上で最も広く導入されている Mail Transfer Agent である Exim において、深刻なセキュリティ欠陥が発見された。この EXIM-Security-2026-05-01.1 で公開された脆弱性を悪用するリモート攻撃者は、特権／認証情報／事前アクセスを一切必要とせずにサーバ・メモリを破壊し、悪意のコード実行を可能にする。2026年5月初旬からの協調的な責任開示プロセスを経て、2026年5月12日に今回のアドバイザリが公開された。

この脆弱性は、TLS を介した暗号化メール通信を処理する Exim の GnuTLS バックエンド内部に存在し、 SMTP プロトコルの CHUNKING エクステンションの一部である BDAT コマンドの使用時に発生する。この BDAT コマンドは、大容量のメール本文を分割送信するために使用される。本文の転送完了前に TLS close_notify アラートを送信する攻撃者は、同一 TCP 接続上に平文の最終 1バイトを追加することで、サーバを危険かつ不安定な状態へ遷移させることが可能となる。

Exim のメンテナー・チームは、 2026年5月1日に XBOW Security の Federico Kirschbaum から報告を受けた後に、この問題を確認した。

Heiko Schlittermann 主導のチームは迅速に対応し、非公開リポジトリで修正を準備し、公式アドバイザリの発表前に限定的なパッチ配布およびディストリビューターへの事前通知を実施した上で、 2026年5月12日の時点で正式アドバイザリを公開した。

この脆弱性が特に深刻である理由は、攻撃の成立に必要な条件が、きわめて少ない点にある。ログイン／特別なアカウント／ターゲット・システムへの事前アクセスなどは、いずれも不要である。攻撃者は Exim サーバに TLS 接続を確立し、 BDAT エクステンションを利用するだけで済むが、これらは、いずれも現代メール・インフラにおける標準機能である。

Exim BDAT GnuTLS の脆弱性

Exim は、特に Linux ベース環境において、世界中のインターネット・サーバで広く利用されており、多数のメール配送を担っている。この脆弱性が影響を及ぼす範囲は、GnuTLS サポート付きでコンパイルされた Exim バージョン 4.97〜4.99.2 であるため、現在稼働中の多数の本番メール・サーバが対象となる。

この脆弱性の本質は、解放後メモリ使用 (UAF：Use-After-Free) にある。これは、解放済みメモリアドレスをプログラムが再利用してしまう既知のメモリ・バグである。Exim がアクティブな BDAT セッション中に、TLS close_notify アラートを受信して内部的に TLS セッションの切断処理を開始する際に、入力処理スタックが適切にリセットされず、古い危険なメモリ・ポインタが残存する点に問題がある。

その後に攻撃者が、同一の TCP 接続上で 1 バイト の平文データを送信すると、すでに解放されたメモリを指すポインタに対して、Exim は書き込みを試行する。これにより、アクティブなデータや実行状態を格納する、重要領域であるヒープ・メモリが破壊される。特定の条件下では、このメモリ破壊を悪用してコード実行フローを乗っ取った攻撃者が、サーバ上で任意のコマンド実行を可能にする。

なお、この問題は、USE_GNUTLS=yes フラグ でビルドされた Exim のみに影響する。その一方で、 OpenSSL など他の TLS ライブラリを使用する構成は、この特定の攻撃経路の影響を受けないという。ただし、依然として多数のシステムがリスクにさらされている。

パッチおよび推奨対応

すでに Exim 開発チームは、 2026年5月12日にバージョン 4.99.3 を公開し、この問題に対処した。この修正により、アクティブな BDAT 転送中に TLS close_notify を受信した場合の、入力処理スタックの完全なリセットが行われ、ヒープ破壊につながる一連の処理が遮断される。

現時点において、有効な回避策や設定変更による防御手段は存在せず、唯一の対策はアップグレードのみである。

GnuTLS が有効化された状態で Exim 4.97〜4.99.2 を使用している、サーバ管理者に対して強く推奨されるのは、この脆弱性を緊急かつ最優先事項として扱い、直ちに修正版へアップグレードすることである。修正版は公式 Exim FTP サーバおよびコード・リポジトリから即時取得可能である。

訳者後書：メールの送受信に欠かせない Exim に、深刻な脆弱性が発見されました。主な原因は、プログラムがメモリを整理するタイミングを間違えてしまう、解放後メモリ使用 (UAF) というバグです。通信を終える合図を受けた際に、本来はリセットされるべきデータ構造がそのまま残ってしまい、攻撃者が送り込むデータにり、メモリが破壊されてしまいます。この不整合が原因で、攻撃者にサーバを操作される危険性が生まれます。ご利用のチームは、ご注意ください。よろしければ、Exim での検索結果も、ご参照ください。