「Exim」に脆弱性 - 拡張子による添付ファイルブロックを回避されるおそれ

メール転送エージェント（MTA）である「Exim」の開発チームは、現地時間7月10日に最新版となる「同4.98」をリリースした。

今回のアップデートでは、機能の追加や見直しのほか、複数行ある「RFC 2231ヘッダ」のファイル名を誤って解析する脆弱性「CVE-2024-39929」に対処した。

同脆弱性を悪用することで、拡張子による保護を回避し、実行ファイルなど悪意ある添付ファイルを配信することが可能になるという。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「5.4」、重要度は「中（Medium）」とレーティングされている。

開発チームでは、「同4.98」より以前のバージョンはすべてサポートが終了していると説明。特に「同3.36」についてはリリースが20年前であり、利用しないよう注意を呼びかけている。

同脆弱性について、脆弱性データベースを提供するCensysは、CVSS基本値を「9.1」と評価。7月10日の時点で米国、ロシア、カナダを中心に「同4.97.1」および以前のバージョンが約156万台稼働しているとの分析結果を明らかにし、注意を呼びかけている。

（Security NEXT - 2024/07/16 ） ツイート

PR

関連記事

特権コマンド実行ツール「sudo」に重要度「クリティカル」の脆弱性
【特別企画】専門家13人が「生成AI時代」のセキュリティを多角的に解説
学童保育で利用料決定通知書1クラス分が所在不明に - 和歌山市
個人情報残存する「就職先情報リスト」を学生に共有 - 摂南大
法人の不正送金被害が約8.6倍 - 金額ベースで個人を上回る
テゲ宮崎の通販サイト、管理ページが認証なしで閲覧可能に
サイバー攻撃でシステム障害が発生 - ヤマダコーポレーション
「IBM WebSphere Application Server」にRCE脆弱性 - 暫定パッチ公開
先週注目された記事（2025年6月22日〜2025年6月28日）
「MS Edge」にアップデート - 固有の脆弱性などにも対処