exim'de kritik use-after-free zafiyeti, gnutls kullananlar acil yamasın
arkadaşlar, exim mail sunucusu kullananlardan özellikle gnutls ile build etmişseniz kulak verin. ciddi bir zafiyet çıkmış ortaya, dead.letter diyorlar buna. CVE-2026-45185 numaralı bu açık use-after-free türünde, yani bellek bozulması ve potansiyel olarak uzaktan kod çalıştırma riski var.
ne var ne yok
exim’in bdat komutunu işlerken gnutls kütüphanesiyle derlenmiş versiyonlarında bir use-after-free açığı bulunmuş. şöyle ki, serbest bırakılmış bellek alanına tekrar erişim söz konusu. bu da ne demek? bellek bozulması, çökme ve en kötü senaryoda uzaktan kod çalıştırma (rce) anlamına geliyor.
spoiler: bu tür açıklar genelde kritik seviyede oluyor, çünkü mail sunucuları internete açık çalışır ve saldırganlar için güzel hedeflerdir.
teknik detaylar
- zafiyet türü: use-after-free (bellek yönetimi hatası)
- etkilenen bileşen: exim’in bdat komut işleyicisi
- gerekli koşul: gnutls ile derlenmiş olması lazım
- saldırı vektörü: ağ üzerinden, authentication gerekmeyebilir
- potansiyel etki: bellek bozulması, denial of service, uzaktan kod çalıştırma
CVE-2026-45185 için henüz cvss skoru yayınlanmamış ama use-after-free + rce potansiyeli = ciddi ciddi yamalayın demek.
hangi sistemler etkileniyor
| Sistem | Durum |
|---|---|
| Exim + GnuTLS | ✅ Etkileniyor (kritik) |
| Exim + OpenSSL | ❌ Etkilenmiyor |
| Postfix | ❌ Etkilenmiyor |
| Sendmail | ❌ Etkilenmiyor |
dikkat: sadece gnutls ile derlenmiş exim kurulumları risk altında. openssl kullananlar rahat.
hemen yapmanız gerekenler
1. hangi tls kütüphanesini kullandığınızı öğrenin
# exim versiyonunu ve build detaylarını kontrol edin
exim -bV | grep -i "support for"
# çıktıda GnuTLS görüyorsanız etkileniyorsunuz
# OpenSSL görüyorsanız bu açıktan etkilenmiyorsunuz
2. gnutls kullanıyorsanız acil güncelleyin
# debian/ubuntu için
sudo apt update
sudo apt upgrade exim4
# rhel/centos için
sudo yum update exim
# güncelleme sonrası versiyon kontrolü
exim -bV
3. servisi yeniden başlatın
# debian/ubuntu
sudo systemctl restart exim4
# rhel/centos
sudo systemctl restart exim
edit: yedek almadan güncelleme yapmayın, mail sunucusu hassas bir şeydir. önce test ortamında deneyin, sonra production’a geçin.
geçici çözümler (hemen yamalayamayanlar için)
eğer acil güncelleme yapamıyorsanız şu önlemleri alabilirsiniz:
1. bdat komutunu devre dışı bırakın
exim konfigürasyonunda (/etc/exim4/exim4.conf.template veya /etc/exim/exim.conf):
# acl_smtp_predata bölümüne ekleyin
acl_smtp_predata:
deny message = BDAT command disabled
condition = ${if eq{$smtp_command}{BDAT}}
sonra konfigurasyon reload edin:
sudo systemctl reload exim4
2. güvenlik duvarı kuralları sıkılaştırın
sadece bilinen ip’lerden smtp bağlantısına izin verin:
# sadece belirli ip aralığından smtp kabul et
sudo iptables -A INPUT -p tcp --dport 25 -s GUVENILIR_IP_ARALIK -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 25 -j DROP
uyarı: bu geçici çözümler kalıcı değildir, en kısa sürede güncelleme yapın.
kontrol ve doğrulama
güncelleme yaptıktan sonra şunları kontrol edin:
# 1. exim versiyonunu kontrol edin
exim -bV
# 2. servis çalışıyor mu?
sudo systemctl status exim4
# 3. log dosyalarını izleyin
sudo tail -f /var/log/exim4/mainlog
# 4. test maili gönderin
echo "test" | mail -s "test mail" kullanici@domain.com
ek bilgiler
- exim resmi güvenlik duyurusu bekleniyor
- şu an için detaylı teknik analiz henüz yayınlanmamış
- exploit kodu henüz public değil ama bu tür açıklar hızlı weaponize edilebiliyor
- önemli: mail sunucuları genelde internete açık olduğu için saldırı yüzeyi geniş
bkz: exim güvenlik geçmişi, use-after-free zafiyetleri, gnutls vs openssl
kaynaklar
- The Hacker News - Orijinal Haber
- CVE-2026-45185 - Dead.Letter Zafiyeti
- Exim Resmi Sitesi
agalar, mail sunucusu işi hassas iştir. bu CVE-2026-45185 açığı ciddi görünüyor, özellikle gnutls kullanıyorsanız hemen harekete geçin. önce hangi tls kütüphanesini kullandığınızı öğrenin, gnutls çıkarsa acil güncelleyin.
son not: production’da deneme yapmayın, önce test ortamında her şeyi kontrol edin. yedeklerinizi alın, sonra işe koyulun. mail sunucusu çökerse herkes size soracak “niye mail gitmiyor” diye.
hadi kolay gelsin, bol şanslar.
Bu içerik yapay zeka tarafından oluşturulmuştur.