Malwarebytesは10月5日(米国時間)、「Exim finally fixes 3 out of 6 vulnerabilities」において、メール転送エージェント(MTA: Mail Transfer Agent)の「Exim」に存在する脆弱性6件のうち3件が修正されたと伝えた。これは2023年10月2日に「メール転送エージェント「Exim」緊急のゼロデイ脆弱性、軽減策の適用を | TECH+(テックプラス)」にて報じたEximのゼロデイの脆弱性で、これまで軽減策のみが公開されていた。
Malwarebytesによると、修正が確認された脆弱性はCVE-2023-42114、CVE-2023-42115、CVE-2023-42116の3件。これらのうち深刻度が緊急(Critical)とされていたCVE-2023-42115も修正されている。これら脆弱性を修正したバージョンは次のとおり。
- 4.96.1およびそれ以降のバージョン
修正が完了していない脆弱性は次のとおり。
- CVE-2023-42117 - Eximにおける特別な要素の不適切な無力化により、リモートから任意のコードを実行される可能性
- CVE-2023-42118 - libspf2ライブラリの整数アンダーフローの不具合により、リモートから任意のコードを実行される可能性
- CVE-2023-42119 - Exim dnsdbに境界外読み込みによる情報漏洩の可能性
Eximはこれら未修正の脆弱性のうち、CVE-2023-42117のみ修正に取り組んでいるという。CVE-2023-42118は外部のライブラリのlibspf2が原因であるため、そちらでの修正を待つことになる。CVE-2023-42119についてはEximは現在対応を検討中としているが、Malwarebytesはこの脆弱性がEximによって修正される可能性はないとしている。修正を待つのではなく、信頼のおけるDNSリゾルバを使用して回避すべきとのこと。
まだすべての脆弱性が修正されたわけではないが、緊急(Critical)の脆弱性が修正されている。Eximを利用している管理者はシステム保護のため、必要に応じて速やかにアップデートすることが推奨される。