United States Computer Emergency Readiness Team (US-CERT)は10月1日(米国時間)、「Exim Releases Security Update|CISA」において、メールサーバ「Exim」に脆弱性が存在すると伝えた。この脆弱性を悪用されると、遠隔から影響を受けたメールサーバの制御権が乗っ取られる危険性があるとされており注意が必要。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Exim 4.92から4.92.2までのすべてのバージョン(4.92および4.92.2も含む)

脆弱性に関する情報は次のページにまとまっている。

  • Heap-based buffer overflow in string_vformat、remote code execution seems to be possible

    Heap-based buffer overflow in string_vformat, remote code execution seems to be possible

Eximプロジェクトから、脆弱性が修正されたExim 4.92.3がリリースされており、アップグレードを実施することを推奨している。プロジェクトはアップデートを提供する以外に、緩和策はないとコメントしている。