Krytyczna luka RCE w Exim (CVE-2026-45185) zagraża serwerom pocztowym opartym o GnuTLS - Security Bez Tabu

Krytyczna luka RCE w Exim (CVE-2026-45185) zagraża serwerom pocztowym opartym o GnuTLS

Cybersecurity news

Wprowadzenie do problemu / definicja

W ekosystemie serwerów pocztowych ujawniono krytyczną podatność w Exim, jednym z najczęściej stosowanych agentów transportu poczty w systemach Linux i Unix. Luka oznaczona jako CVE-2026-45185 może prowadzić do zdalnego wykonania kodu bez uwierzytelnienia w określonych wdrożeniach korzystających z biblioteki GnuTLS.

Problem dotyczy scenariuszy, w których serwer SMTP obsługuje jednocześnie STARTTLS oraz transfer danych w trybie chunked przy użyciu polecenia BDAT. W praktyce oznacza to ryzyko przejęcia kontroli nad usługą pocztową przez atakującego z Internetu.

W skrócie

Podatność obejmuje Exim w wersjach od 4.97 do 4.99.2, jeśli pakiet został zbudowany z wykorzystaniem GnuTLS. Błąd ma charakter use-after-free i pojawia się podczas zamykania sesji TLS w określonym przebiegu komunikacji SMTP.

  • wektor ataku jest zdalny i nie wymaga uwierzytelnienia,
  • zagrożone są buildy Exim oparte o GnuTLS,
  • warunkiem wejścia w podatną ścieżkę jest wykorzystanie STARTTLS oraz CHUNKING z BDAT,
  • poprawka została udostępniona w wersji Exim 4.99.3.

Kontekst / historia

Exim od lat pozostaje ważnym elementem infrastruktury e-mail, szczególnie w środowiskach hostingowych, na serwerach linuksowych oraz w systemach utrzymujących własne bramy pocztowe. Z tego powodu każda krytyczna luka w tym oprogramowaniu może mieć szeroki wpływ operacyjny.

CVE-2026-45185 została zgłoszona przez badacza Federico Kirschbauma. Informacje publiczne wskazują, że ujawnienie podatności było koordynowane z maintainerami projektu, a następnie przygotowano poprawkę i powiadomiono zainteresowane podmioty. Dodatkową uwagę branży zwrócił fakt, że analiza błędu i tworzenie exploita były wspierane narzędziami AI, co wpisuje się w rosnący trend automatyzacji badań bezpieczeństwa.

Analiza techniczna

Istota podatności sprowadza się do nieprawidłowego zarządzania pamięcią podczas kończenia komunikacji TLS. W podatnym przebiegu Exim zwalnia bufor związany z transmisją TLS, a następnie nadal odwołuje się do nieaktualnych referencji callbacków. Taka sekwencja może skutkować zapisem do pamięci, która została już zwolniona.

Jest to klasyczny przypadek błędu use-after-free. W zależności od warunków wykonania może on prowadzić do awarii procesu, uszkodzenia sterty albo do kontrolowanego przejęcia przepływu wykonania. Z perspektywy bezpieczeństwa szczególnie groźne jest to, że wykorzystanie luki może odbywać się zdalnie i przed uwierzytelnieniem.

Nie wszystkie wdrożenia Exim są narażone w takim samym stopniu. Według ujawnionych informacji problem dotyczy kompilacji korzystających z GnuTLS, natomiast buildy oparte o OpenSSL nie są objęte tym konkretnym błędem. Ostateczne ryzyko zależy również od zabezpieczeń systemowych, takich jak ASLR, PIE, sposób kompilacji binariów oraz lokalna konfiguracja usługi.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem CVE-2026-45185 jest możliwość zdalnego wykonania dowolnego kodu w kontekście procesu Exim. W środowiskach produkcyjnych może to otworzyć drogę do dalszych naruszeń bezpieczeństwa.

  • przejęcie kontroli nad usługą pocztową,
  • dostęp do wiadomości e-mail i metadanych,
  • modyfikacja lub przekierowanie ruchu pocztowego,
  • wykorzystanie serwera jako punktu wyjścia do dalszej penetracji sieci,
  • zwiększenie skali incydentu w środowiskach współdzielonych i hostingowych.

Ryzyko jest szczególnie wysokie tam, gdzie Exim jest publicznie dostępny i obsługuje ruch od nieznanych nadawców. Dotyczy to zwłaszcza serwerów MX, relayów, środowisk wielodomenowych oraz starszych wdrożeń, w których aktualizacje i monitoring bezpieczeństwa są realizowane z opóźnieniem.

Rekomendacje

Najważniejszym działaniem jest niezwłoczna aktualizacja Exim do wersji 4.99.3 lub nowszej, zgodnie z polityką dostawcy systemu operacyjnego. Organizacje powinny zweryfikować nie tylko sam numer wersji, ale także sposób kompilacji pakietu oraz używaną bibliotekę TLS.

  • zinwentaryzować wszystkie instancje Exim dostępne z Internetu,
  • sprawdzić, czy korzystają z GnuTLS zamiast OpenSSL,
  • potwierdzić, czy serwer reklamuje STARTTLS oraz CHUNKING,
  • nadać priorytet aktualizacji bram pocztowych i systemów publicznych,
  • monitorować logi SMTP pod kątem nietypowych sekwencji BDAT i błędów TLS,
  • włączyć detekcję awarii procesu, restartów usługi i anomalii pamięci,
  • przeanalizować uprawnienia procesu Exim oraz segmentację sieciową.

Jeżeli natychmiastowe wdrożenie poprawki nie jest możliwe, warto rozważyć działania kompensacyjne, takie jak ograniczenie ekspozycji usług, przegląd konfiguracji SMTP związanej z podatnym scenariuszem oraz zaostrzenie monitoringu. Takie kroki nie zastępują jednak aktualizacji i powinny być traktowane wyłącznie jako tymczasowe ograniczenie ryzyka.

Podsumowanie

CVE-2026-45185 to poważna luka w Exim, pokazująca, jak groźne pozostają błędy pamięci w kluczowych komponentach infrastruktury internetowej. Podatność dotyczy wybranych wersji Exim opartych o GnuTLS i może umożliwić zdalne wykonanie kodu bez uwierzytelnienia.

Dla administratorów oznacza to konieczność szybkiej inwentaryzacji wdrożeń, sprawdzenia konfiguracji TLS oraz pilnej aktualizacji do wersji naprawionej. W środowiskach produkcyjnych obsługujących pocztę elektroniczną czas reakcji ma bezpośredni wpływ na ograniczenie powierzchni ataku.

Źródła

  1. New critical Exim mailer flaw allows remote code execution — https://www.bleepingcomputer.com/news/security/new-critical-exim-mailer-flaw-allows-remote-code-execution/
  2. NVD – CVE-2026-45185 — https://nvd.nist.gov/vuln/detail/CVE-2026-45185
  3. Openwall oss-security: Exim 4.99.3 release information — https://www.openwall.com/lists/oss-security/