「Exim」に脆弱性 - 拡張子による添付ファイルブロックを回避されるおそれ
メール転送エージェント(MTA)である「Exim」の開発チームは、現地時間7月10日に最新版となる「同4.98」をリリースした。
今回のアップデートでは、機能の追加や見直しのほか、複数行ある「RFC 2231ヘッダ」のファイル名を誤って解析する脆弱性「CVE-2024-39929」に対処した。
同脆弱性を悪用することで、拡張子による保護を回避し、実行ファイルなど悪意ある添付ファイルを配信することが可能になるという。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「5.4」、重要度は「中(Medium)」とレーティングされている。
開発チームでは、「同4.98」より以前のバージョンはすべてサポートが終了していると説明。特に「同3.36」についてはリリースが20年前であり、利用しないよう注意を呼びかけている。
同脆弱性について、脆弱性データベースを提供するCensysは、CVSS基本値を「9.1」と評価。7月10日の時点で米国、ロシア、カナダを中心に「同4.97.1」および以前のバージョンが約156万台稼働しているとの分析結果を明らかにし、注意を呼びかけている。
(Security NEXT - 2024/07/16 )
ツイート
関連リンク
PR
関連記事
エンプラサーバなどに採用されるAMI製「BMC」にRCE脆弱性
持ち出し緊急連絡表をメモ利用、保育士を懲戒処分 - 二宮町
勤務時間に60時間以上に私的ネット閲覧、副校長処分 - 横浜市
KDDIのホームゲートウェイ「HGW-BL1500HM」に複数脆弱性
インスタアカウントが乗っ取り被害 - 泉大津市のホテル
VPN経由でランサム攻撃、情報の外部公開を確認 - ベル・データ
ネットワーク設定変更で不備、個人情報流出の可能性 - ファストリ
「FortiOS」脆弱性や不正コード混入「Githubアクション」の悪用に注意喚起 - 米政府
SAP、3月の月例パッチを公開 - 新規アドバイザリ21件を公開
Google製脆弱性スキャナの最新版「OSV-Scanner 2.0.0」が公開