Das Projekt Exim hat ein außerplanmäßiges Sicherheitsupdate veröffentlicht, das die Schwachstelle CVE-2026-45185 der Klasse use-after-free behebt, die zu Heap-Korruption führt und potenziell die Ausführung beliebigen Codes auf dem Mailserver ermöglicht. Die Schwachstelle betrifft alle Versionen von Exim von 4.97 bis einschließlich 4.99.2, die mit Unterstützung für GnuTLS (Build-Parameter USE_GNUTLS=yes) kompiliert wurden. Für die Ausnutzung genügt es, dass der Angreifer eine TLS-Verbindung aufbaut und die SMTP-Erweiterung CHUNKING (BDAT) verwendet – eine spezielle Serverkonfiguration ist nicht erforderlich. Der Fix ist in Version 4.99.3 verfügbar, alternative Mitigations existieren nicht, und Administratoren müssen umgehend aktualisieren.

Mechanismus der Schwachstelle

Laut dem offiziellen Exim-Sicherheitshinweis entsteht die Schwachstelle bei der Verarbeitung des Nachrichtentextes, der über den Befehl BDAT übertragen wird, wenn der Client den TLS-Alert close_notify sendet, bevor die Datenübertragung abgeschlossen ist, und anschließend das letzte Byte im Klartext über dieselbe TCP-Verbindung schickt. Diese Abfolge führt dazu, dass Exim Daten in einen Speicherpuffer schreibt, der beim Beenden der TLS-Sitzung bereits freigegeben wurde, was eine Heap-Korruption (heap corruption) auslöst.

Nach Angaben des Forschers Federico Kirschbaum vom Unternehmen XBOW, der die Schwachstelle entdeckt hat, gibt Exim beim Beenden der TLS-Sitzung den Sendepuffer frei, der verschachtelte BDAT-Empfangshandler verarbeitet jedoch weiter eingehende Bytes und ruft die Funktion ungetc() auf, die ein Zeichen (\n) in den bereits freigegebenen Speicherbereich schreibt. Dieser einbytegroße Schreibvorgang fällt auf die Metadaten des Allocators und zerstört dessen interne Struktur, was dem Angreifer mutmaßlich zusätzliche Primitiven für eine weitergehende Ausnutzung verschaffen kann.

Betroffene Versionen und Exploit-Voraussetzungen

• Betroffene Versionen: Exim 4.97 — 4.99.2 einschließlich
• Bedingung: Build mit Parameter USE_GNUTLS=yes
• Nicht betroffen: Builds, die OpenSSL oder andere TLS-Bibliotheken verwenden
• Anforderungen an den Angreifer: Fähigkeit, eine TLS-Verbindung herzustellen und die Erweiterung CHUNKING (BDAT) zu verwenden
• Behebte Version: Exim 4.99.3
• Exploit-Status: Zum Zeitpunkt der Veröffentlichung liegen keine Hinweise auf eine aktive Ausnutzung in realen Angriffen vor; die Schwachstelle ist nicht im CISA-KEV-Katalog aufgeführt

Warum diese Schwachstelle besonders gefährlich ist

Exim ist einer der am weitesten verbreiteten Mail Transfer Agents (MTA) auf Unix-ähnlichen Systemen. Mailserver sind naturgemäß aus dem Internet erreichbar und nehmen eingehende Verbindungen von beliebigen Clients an, was sie zu einem attraktiven Ziel macht. Die Hürde zur Ausnutzung von CVE-2026-45185 ist äußerst niedrig: Der Angreifer benötigt keine Authentifizierung und keine ungewöhnliche Serverkonfiguration – eine Standard-TLS-Verbindung mit Unterstützung für BDAT, die in modernen Exim-Versionen standardmäßig aktiviert ist, genügt.

Besonders hervorzuheben ist, dass die Schwachstelle an eine bestimmte TLS-Bibliothek gebunden ist. Viele Linux-Distributionen liefern Exim-Pakete, die genau mit GnuTLS gebaut wurden (beispielsweise setzen Debian und seine Derivate traditionell auf GnuTLS). Administratoren sollten prüfen, mit welcher TLS-Bibliothek ihre Exim-Instanz kompiliert wurde, indem sie den Befehl exim -bV ausführen und auf die Zeile achten, die die TLS-Bibliothek angibt.

Historischer Kontext

Es ist nicht das erste Mal, dass in Exim kritische use-after-free-Schwachstellen im Zusammenhang mit der BDAT-Verarbeitung entdeckt wurden. Bereits 2017 wurde die Schwachstelle CVE-2017-16943 (CVSS 9.8) im SMTP-Daemon behoben, die nach Angaben von Forschern nicht authentifizierten Angreifern über speziell präparierte BDAT-Kommandos Remote Code Execution ermöglichte. Das erneute Auftreten einer Schwachstelle derselben Klasse in derselben Komponente neun Jahre später weist auf die systemische Komplexität einer sicheren Zustandsbehandlung beim Zusammenspiel von TLS und stromorientierter Datenaufnahme in der Exim-Codebasis hin.

Empfehlungen

1. Aktualisieren Sie Exim umgehend auf Version 4.99.3. Dem Sicherheitshinweis zufolge existieren keine Workarounds oder temporären Konfigurationsanpassungen, die die Schwachstelle beseitigen.
2. Ermitteln Sie die eingesetzte TLS-Bibliothek: Führen Sie exim -bV | grep TLS aus. Wenn in der Ausgabe GnuTLS aufgeführt ist, ist Ihr Server verwundbar.
3. Prüfen Sie die Erreichbarkeit Ihres SMTP-Servers aus dem Internet. Beschränken Sie, sofern ohne Beeinträchtigung der Mail-Infrastruktur möglich, den Zugriff auf die Ports 25/465/587 auf Firewall-Ebene.
4. Überprüfen Sie die Logs auf ungewöhnliche TLS-Sitzungen mit vorzeitigem Abbruch in Kombination mit BDAT-Kommandos – dies kann auf Exploit-Versuche hindeuten.
5. Ziehen Sie einen Rebuild mit OpenSSL in Betracht als temporäre Maßnahme, falls ein zeitnahes Update auf 4.99.3 nicht möglich ist – Builds mit OpenSSL sind von dieser Schwachstelle nicht betroffen.

Der Fix in Version 4.99.3 sorgt für ein korrektes Zurücksetzen des Stacks zur Eingabeverarbeitung beim Empfang des TLS-Alerts close_notify während einer aktiven BDAT-Übertragung und verhindert so die Verwendung veralteter Zeiger. Angesichts fehlender alternativer Schutzmaßnahmen, der niedrigen Ausnutzungshürde und der öffentlichen Verfügbarkeit technischer Details zur Schwachstelle ist ein Update von Exim auf Version 4.99.3 für alle Organisationen, die diesen MTA mit GnuTLS einsetzen, als Aufgabe höchster Priorität zu betrachten.