CVE詳細 - CVE-2019-16928-

CVE-2019-16928 の詳細

CVEの情報

説明:
Exim 4.92 through 4.92.2 allows remote code execution, a different vulnerability than CVE-2019-15846. There is a heap-based buffer overflow in string_vformat in string.c involving a long EHLO command.

CVE更新日: 2019-09-27 21:15:10.017000

CVSSバージョン: 3.1

CVSSスコア: 9.8

KEVの情報

KEV更新日: 2022-03-03

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST（Forum of Incident Response and Security Teams）が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.903100000

EPSS更新日: 2026-06-12 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation（悪用状況）、Technical Impact（技術的影響）、Automatable（自動攻撃の可否）を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2019-16928について、以下の観点で解説します。

1. 脆弱性の概要

1.1 概要

CVE-2019-16928は、Eximメール転送エージェント (MTA) に存在するヒープベースのバッファオーバーフローの脆弱性です。この脆弱性は、string.cファイルのstring_vformat関数における、長いEHLOコマンドの処理に関連するコーディングエラーが原因で発生します。この欠陥により、攻撃者は特別に細工されたSMTPプロトコルのEHLOメッセージを送信することで、脆弱性を悪用できます。

1.2 影響

この脆弱性が悪用されると、サービス拒否 (DoS) 状態（Eximプロセスのクラッシュ）や、認証されていないリモートからのコード実行 (RCE) につながる可能性があります。リモートコード実行の場合、eximユーザーレベルでの実行が想定されますが、rootユーザーとしての実行も排除できないとされています。攻撃者は、任意のプログラムをインストールしたり、機密データの閲覧・変更・削除、新しいアカウントの作成などを行う可能性があります。

1.3 深刻度

この脆弱性は「Critical（緊急）」と評価されています。 * CVSS v3.1 Base Score: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) * CVSS v2 Base Score: 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P)

このCVEはCISAの「Known Exploited Vulnerabilities Catalog」に記載されており、実際に悪用されていることが知られています。

2. 対象となる環境

2.1 影響を受けるEximバージョン

Eximバージョン4.92、4.92.1、および4.92.2がこの脆弱性の影響を受けます。Exim 4.91以前のバージョンはこの脆弱性の影響を受けません。

2.2 影響を受けるOSバージョンおよび設定

Eximは主にUnix系システムで使用されるメール転送エージェントです。

主要なLinuxディストリビューションごとの状況は以下の通りです。 * Red Hat / CentOS / Amazon Linux: Red Hat Enterprise Linux 5以降、Eximを出荷しておらず、脆弱なコードは含まれていないため、影響を受けないとされています。 * Debian: Buster (バージョン10) 向けに修正が公開されていますが、JessieおよびStretchのような以前のリリースは影響を受けません。 * Ubuntu: 19.04 (Disco Dingo) 向けに修正が公開されており、それ以前のバージョンは影響を受けません。 * SUSE: この脆弱性の影響を受けないと報告しています。openSUSE LeapはExim 4.88に基づいているため、影響を受ける可能性は低いとされています。

この脆弱性は、SMTPプロトコルハンドリング、特にEHLOコマンドの処理に存在するため、EximメールサーバーがEHLOコマンドを受け入れる設定で稼働している場合に影響を受けます。

3. 影響を受けた時の兆候

Eximプロセスのクラッシュ（サービス拒否）が発生する可能性があります。
リモートコード実行に成功した場合、サーバー上で不正なプログラムのインストール、データへの不正アクセス、アカウントの作成などが行われる可能性がありますが、直接的な兆候はシステムによって異なります。
Eximのログに異常に長いEHLOコマンドが記録されている場合、悪用が試みられている兆候である可能性があります。

4. 推奨対策

4.1 本対策

Eximをバージョン4.92.3以降に速やかにアップデートしてください。

4.2 暫定回避策（緩和策）

直ちにパッチを適用できない場合、以下の対策を検討してください。 * Eximサービスへのアクセスを信頼できる送信元のみに制限するネットワークレベルの制御を実装します。 * Eximのログを監視し、不審なアクティビティや異常に長いEHLOコマンドがないか確認します。 * 侵入検知/防御システム (IDPS) などの追加のセキュリティ対策を検討し、潜在的な悪用試行を検出しブロックします。例えば、Trend Micro Deep Discovery InspectorやDeep Securityは、この脆弱性を悪用する攻撃を検出するためのルールを提供しています。

5. その他解説すべき観点

発見者: この脆弱性はQAX-A-Teamによって発見され、報告されました。
PoCの存在: サービス拒否状態を引き起こす概念実証 (PoC) がパッチの一部として公開されており、この脆弱性を悪用するための公開されたエクスプロイトも存在することが知られています。
Eximの普及率: Eximはインターネット上のメールサーバーの過半数（50%以上）で使用されているMTAであり、この脆弱性は広範囲に影響を及ぼす可能性があります。

参照したサイト:

NVDサイト

NVDでCVEの詳細を見る

戻る