Debian veya Ubuntu üzerinde çalışan ve son beş haftadır güncelleme yapılmamış bir Exim sunucunuz varsa, 25 numaralı TCP portuna TLS bağlantısı açabilen herkes — kimlik doğrulaması olmadan, özel bir araç gerekmeksizin, standart SMTP komutlarıyla — sunucunuzu uzaktan istismar edebilir durumda olabilir.

CVE-2026-45185, Dead.Letter adıyla anılan bu güvenlik açığı, Exim’in BDAT mesaj ayrıştırma kodundaki bir “use-after-free” hatasıdır. CVSS puanı: 9.8 Kritik. 12 Mayıs 2026’da yayımlanan Exim 4.99.3 sürümüyle giderildi. O tarihten bu yana sürümünüzü kontrol etmediyseniz, şimdi tam zamanı.

Kimler etkileniyor

Güvenlik açığı yalnızca GnuTLS ile derlenmiş Exim yapılarını (USE_GNUTLS=yes) etkiliyor. Bu kulağa dar bir kapsam gibi gelse de Debian ve Ubuntu — Linux posta sunucularının büyük çoğunluğunun temelini oluşturan dağıtımlar — varsayılan olarak GnuTLS bağlantılı Exim paketleri sunuyor. 4.97’den 4.99.2’ye kadar tüm Exim sürümleri GnuTLS derlemelerinde etkileniyor. OpenSSL kullanan derlemeler bu açıktan etkilenmiyor.

Kontrol etmek için:

exim4 --version | grep -i tls

Çıktıda GnuTLS yazıyorsa harekete geçmeniz gerekiyor. OpenSSL yazıyorsa bu açık için riskiniz yok.

Debian türevi sistemlerde Exim kullanan cPanel sunucuları da risk altında olabilir; açık, önünde bir kontrol paneli olup olmadığına bakmaksızın aynı kod yolunu etkiliyor.

Açık nasıl çalışıyor

Hata, büyük mesaj gövdelerini aktarmak için eski DATA komutunun yerini alan BDAT — yani CHUNKING SMTP uzantısı — kod yolunda bulunuyor.

TLS üzerinden gerçekleşen bir BDAT aktarımı sırasında, istemci mesaj gövdesinin tamamı iletilmeden önce TLS close_notify uyarısı gönderirse ve ardından aynı TCP bağlantısı üzerinden düz metin olarak tek bir bayt daha yollarsa, Exim bu baytı TLS aktarım tamponunu zaten serbest bıraktıktan sonra işliyor. Artık serbest bırakılmış belleğe yazma işlemi gerçekleştiren ungetc() çağrısı, bellek yöneticisinin meta verilerine bir karakter — bir satır sonu — düşürüyor.

Tek bir bayt, görünürde küçük bir hata. Ancak açığı keşfeden ve 1 Mayıs 2026’da bildiren XBOW Güvenlik Laboratuvarı’ndan Federico Kirschbaum, bu yığın bozulmasının keyfi kod çalıştırmaya kadar götürülebildiğini kanıtladı. XBOW, açığı Exim tarihinde buldukları “en yüksek kalibreli hatalardan biri” olarak nitelendirdi.

Saldırı çıtası son derece düşük. Saldırganın tek ihtiyacı, TLS bağlantısı açabilmek ve BDAT kullanabilmek — bunların ikisi de standart SMTP istemci davranışıdır. Kimlik doğrulaması, sunucuyla önceden bir ilişki ya da içeriden erişim gerekmiyor.

Düzeltme

Exim 4.99.3, aktif bir BDAT aktarımı sırasında TLS close_notify alındığında giriş işleme yığınını sıfırlıyor; bu sayede eski kodun ulaşabileceği eski işaretçi ortadan kalkıyor. Düzeltme hedefe yönelik ve net — Exim ekibi, yapılandırma tabanlı herhangi bir geçici çözüm bulunmadığını açıkça belirtti. TLS’yi devre dışı bırakmak kabul edilebilir bir seçenek değil, BDAT’ı SMTP düzeyinde kısıtlamak da belgelenmiş bir hafifletme yolu değil.

Dağıtım paketleri, 12 Mayıs 2026’daki açıklama ile eş zamanlı olarak yayımlandı:

  • Debian: Stable (Trixie/13), oldstable (Bookworm/12) ve oldoldstable (Bullseye/11) için güncel exim4 paketleri mevcut. apt-get update && apt-get upgrade exim4 komutu yeterli.
  • Ubuntu: Ubuntu 24.04 LTS ve desteklenen diğer sürümler için güvenlik güncellemeleri standart depolar aracılığıyla yayımlandı. Aynı apt-get update && apt-get upgrade exim4 komutu işe yarıyor.
  • cPanel/WHM: Exim cPanel tarafından yönetiliyorsa WHM → Servis Yapılandırması → Exim Yapılandırma Yöneticisi üzerinden yüklü sürümü kontrol edin ve cPanel’in güncelleme kanalından Exim güncellemesini uygulayın.

Yüklü sürümü doğrulamak için exim4 --version (Debian dışı sistemlerde exim --version) komutunu çalıştırın. GnuTLS derlemesinde 4.99.3’ün altındaki her sürüm yamayı bekliyor demektir.

kalfaoglu.net müşterileri için ne anlama geliyor

Exim, paylaşımlı ve yönetilen hosting ortamlarının büyük bölümünde — cPanel yığınları dahil — varsayılan MTA’dır. kalfaoglu.net tarafından yönetilen bir sunucudaysanız, ilgili güvenlik güncellemeleri incelendi ve uygulandı. Kendi VPS’inizde Exim çalıştırıyorsanız — özellikle Debian veya Ubuntu tabanlı bir sunucuda — sürümünüzü kontrol edip gerekiyorsa dağıtım güncellemelerini uygulayın.

Sunucunuzun hangi posta aktarım aracısını kullandığından ya da Exim derlemenizdeki TLS kütüphanesinden emin değilseniz bize ulaşın. Sürüm kontrolü otuz saniye sürer, düzeltme ise bir apt-get upgrade komutu kadar basit.

Bu açık, “birisi halletti” varsayımıyla geçiştirilecek türden değil.

Kaynaklar: The Hacker News · NVD CVE-2026-45185 · XBOW Teknik Analiz · oss-security Açıklaması · Exim Güvenlik Duyurusu