「Exim 4.92.3」リリース、脆弱性を修正

 メール転送エージェント(MTA)のExim開発チームは9月29日、最新版となる「Exim 4.92.3」を公開した。脆弱性の修正が加わったセキュリティリリースとなる。

 Eximはケンブリッジ大学で開発されたUNIX向けのメッセージ転送エージェント(MTA)。「Smail 3」をベースに開発されているが、より汎用性が高く、メールのルーティングなどで柔軟性がある。Sendmailと互換性があり、設定は異なるものの置き換えとして利用できるとしている。ライセンスはGPLv2。

 Exim 4.92.3は、2月に公開されたバージョン4.92の最新版となり、脆弱性CVE-2019-16928を修正したセキュリティリリース。この脆弱性は、string.c内にある「string_vformat」でヒープベースのバッファーオーバーフローが発生する可能性があるというもの。現時点での既知の攻撃手法として、非常に長いEHLO文字列を送信することでEximプロセスをクラッシュさせるというものがあると報告している。緩和策は、サーバーをアップデートする以外にないという。

 この脆弱性はバージョン4.92から4.92.2が影響を受ける。そのため、4.92.3公開をもって、それ以前の全バージョンは使うことができないとしている。

 Exim 4.92.3は各ミラーサイトなどからダウンロードできる。

Exim
https://www.exim.org/