Zero Day Initiativeは9月27日(米国時間)、「ZDI-23-1469|Zero Day Initiative」において、メール転送エージェント(MTA: Mail Transfer Agent)のEximにゼロデイの脆弱性が存在すると伝えた。この脆弱性を悪用されると、遠隔から任意のコードを実行される危険性があるとされており注意が必要。
Zero Day Initiativeによると、今回公開された脆弱性はCVE-2023-42115として追跡されている。本稿執筆時点で、米国国立標準技術研究所(NIST: National Institute of Standards and Technology)が管理している脆弱性情報データベース(NVD: National Vulnerability Database)においては確認できない。深刻度は緊急(Critical)とされ、速やかな対策が求められるが現時点でセキュリティアップデートは公開されていない。
今回の脆弱性(CVE-2023-42115)はデフォルトでTCPポート25をリッスンするsmtpサービス内に存在するとされる。ユーザーが指定したデータが適切に検証されていないことが原因でバッファの境界を超えて書き込みが行われる可能性があり、サービスアカウントのコンテキスト内で任意のコードが実行される可能性があるとされる。
Zero Day Initiativeは2022年6月14日(米国時間)、ベンダーにこの脆弱性について報告している。しかしながらベンダーからは必要な回答がなく、再度ベンダーに報告したが必要な回答が得られなかったため、今回ゼロデイ脆弱性として公開したとしている。そのため、本稿執筆時点でセキュリティアップデートは提供されておらず、Eximを運用する世界中のサーバは危険な状態にあるとみられている。
Zero Day Initiativeは被害の軽減策として、アプリケーションとの対話を制限する方法を提示している。これは、smtpサービスの停止またはTCPポート25を信頼のおけるサーバとの通信のみ許可するようにファイアウォールなどで保護することを意味しているものと考えられるが、メール転送エージェントとしての基本的な機能を大きく制限することになる。Zero Day Initiativeは同日Eximのゼロデイの脆弱性をほかに5件公開している。
これに対し、Eximは対策に取り組んでいるとして、詳細情報を公開している(「exim.org/static/doc/security/CVE-2023-zdi.txt」)。この情報によると、今回の脆弱性(CVE-2023-42115)は、EXTERNAL認証を提供しないことで軽減できるとされる。さらに、5件の脆弱性についても軽減策を提示している。