Le 12 mai 2026, les équipes de sécurité mondiales ont découvert une faille critique dans Exim, l’un des serveurs de transfert de courrier (MTA) les plus déployés sur Internet. Baptisée Dead.Letter et cataloguée sous la référence CVE-2026-45185, cette vulnérabilité obtient un score CVSS de 9,8 sur 10, le niveau de criticité maximum. Elle autorise toute personne connectée à Internet, sans aucune authentification préalable, à exécuter du code arbitraire sur les serveurs affectés. Selon les données Shodan collectées au moment de la divulgation publique, 3,5 millions de serveurs Exim restaient accessibles sur le réseau mondial, dont une fraction significative sans correctif appliqué.
La vulnérabilité touche les versions Exim 4.97 à 4.99.2 compilées avec GnuTLS, la bibliothèque TLS utilisée par défaut sur les distributions Debian et Ubuntu. Les administrations, PME et hébergeurs européens qui s’appuient sur ces systèmes se trouvent en première ligne, d’autant que la CISA américaine a fixé au 17 juin 2026 la date limite de correction pour les agences fédérales. Cette échéance est désormais dépassée.
Ce que cache le nom Dead.Letter
Le surnom Dead.Letter n’est pas choisi au hasard. En anglais, une “dead letter” désigne une lettre non distribuable qui finit dans un bureau des rebuts. Ici, le jeu de mots prend une dimension glaçante : les courriers électroniques acheminés par un serveur Exim vulnérable peuvent désormais être interceptés, lus, modifiés ou supprimés par un attaquant ayant pris le contrôle du système.
La découverte est l’œuvre de Federico Kirschbaum, responsable du laboratoire de sécurité chez XBOW, une plateforme de tests de sécurité autonomes. Kirschbaum a identifié la faille le 1er mai 2026 et engagé une procédure de divulgation coordonnée avec l’équipe Exim. Onze jours plus tard, le 12 mai 2026, le correctif et l’alerte publique étaient simultanément publiés, accompagnés d’avis de sécurité de SUSE, Ubuntu et Debian dès le lendemain.
Ce délai serré entre découverte et divulgation a permis de limiter la fenêtre d’exposition, mais la nature même de la faille, une exécution de code à distance sans authentification, place CVE-2026-45185 parmi les vulnérabilités les plus dangereuses de l’année 2026 sur les infrastructures de messagerie.
La CISA (Cybersecurity and Infrastructure Security Agency) a immédiatement ajouté CVE-2026-45185 à son catalogue des vulnérabilités exploitées connues (KEV), imposant aux agences fédérales américaines une correction avant le 17 juin 2026. En France, le CERT-FR a publié un avis d’alerte dans les jours suivants.
Le mécanisme technique : BDAT, GnuTLS et une condition de concurrence fatale
CVE-2026-45185 est une vulnérabilité de type use-after-free (UAF), classée CWE-416. Elle réside dans le chemin de traitement des corps de messages BDAT du protocole SMTP. BDAT est une extension de SMTP définie dans la RFC 3030, permettant le transfert de données en blocs via la commande CHUNKING.
Le scénario d’attaque exploite une condition de concurrence (race condition) lors de la fermeture d’une session TLS. Selon l’avis officiel d’Exim : «La vulnérabilité est déclenchée lors du traitement du corps d’un message BDAT lorsqu’un client envoie une alerte TLS close_notify avant la fin du transfert du corps, puis fait suivre un octet final en clair sur la même connexion TCP. Cette séquence d’événements peut amener Exim à écrire dans un tampon mémoire qui a déjà été libéré lors de la clôture de session TLS, conduisant à une corruption du tas.»
En termes pratiques, l’attaquant n’a besoin que d’établir une connexion TLS avec le serveur SMTP cible et d’envoyer une séquence précise de commandes exploitant l’extension CHUNKING. Aucun identifiant, aucune session préalable, aucune interaction de l’utilisateur n’est requise. Le vecteur d’attaque est réseau, complexité faible, sans privilèges, sans interaction utilisateur, ce qui justifie pleinement le vecteur CVSS : AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.
La particularité de Dead.Letter est qu’elle affecte exclusivement les configurations utilisant GnuTLS. Les builds Exim compilés avec OpenSSL restent indemnes. Ce détail a une importance capitale pour l’évaluation de l’exposition, car GnuTLS est la bibliothèque par défaut sur Debian et ses dérivés, tandis qu’OpenSSL est davantage utilisé sur Red Hat, CentOS et leurs dérivés.
Le blog technique de XBOW documente comment le chercheur a construit un exploit fonctionnel, en précisant que «certains éléments du développement de l’exploit ont été assistés par un LLM pendant la période de divulgation coordonnée de onze jours.» Cette dimension marque une évolution notable dans la recherche en sécurité offensive, où l’intelligence artificielle devient un accélérateur de la découverte d’exploits.
3,5 millions de serveurs dans la portée de feu
Les données Shodan compilées par runZero au moment de la divulgation font état de près de 3,5 millions de serveurs Exim exposés sur Internet. La majorité se concentre aux États-Unis, suivis de la Russie et de l’Allemagne. Mais la présence européenne est substantielle : Exim est largement déployé dans les pays utilisant massivement Debian et Ubuntu comme système d’exploitation serveur.
runZero a publié une requête de détection immédiate pour aider les équipes de sécurité à identifier leurs actifs vulnérables :
product:=exim AND banner:"STARTTLS"Pour les administrateurs Exim, vérifier la version installée et la bibliothèque TLS utilisée s’effectue simplement :
exim --version | head -1
exim --version | grep -i tlsSi la sortie mentionne GnuTLS et une version antérieure à 4.99.3, le serveur est vulnérable. La présence du drapeau CHUNKING dans les extensions ESMTP annoncées confirme que le chemin d’attaque BDAT est actif.
En mai 2026, aucune exploitation confirmée à grande échelle n’avait été signalée. Cela ne signifie pas l’absence de tentatives : la CISA, en ajoutant CVE-2026-45185 à son catalogue KEV avec un délai de correction de seulement 36 jours, indique qu’elle anticipait une exploitation imminente. Un proof-of-concept (PoC) fonctionnel est publiquement disponible, abaissant considérablement la barrière d’entrée pour les attaquants moins qualifiés.
Debian et Ubuntu en première ligne : pourquoi GnuTLS change tout
Le choix de la bibliothèque TLS utilisée dans la compilation d’Exim détermine entièrement l’exposition à Dead.Letter. Sur les systèmes Debian et Ubuntu, GnuTLS est la valeur par défaut pour les paquets Exim fournis par les dépôts officiels. Autrement dit, toute organisation ayant installé Exim via apt install exim4 sur une distribution Debian ou Ubuntu se trouve vulnérable si la mise à jour n’a pas été appliquée.
Debian est le système d’exploitation serveur de référence pour de nombreuses administrations publiques françaises et européennes, des universités, des hébergeurs et des collectivités territoriales. Ubuntu Server, dont Debian est le parent, domine également dans les infrastructures cloud et les PME.
À l’inverse, les distributions basées sur Red Hat (RHEL, AlmaLinux, Rocky Linux) ou sur Fedora utilisent OpenSSL par défaut et ne sont pas affectées par CVE-2026-45185. Cette distinction divise clairement l’écosystème Linux en deux catégories d’exposition.
Les distributions Debian (Debian 12 Bookworm, Debian 11 Bullseye) et Ubuntu (24.04 LTS, 22.04 LTS) ont publié des mises à jour de sécurité le 11 et 12 mai 2026 respectivement. SUSE a également émis un avis le même jour pour ses distributions intégrant Exim. La correction est disponible sous forme de mise à jour de paquet standard, sans recompilation ni configuration manuelle.
XBOW et l’exploit assisté par IA : une frontière franchie
La découverte de CVE-2026-45185 par XBOW introduit un angle nouveau dans le paysage de la recherche en sécurité offensive. XBOW se définit comme une plateforme de tests de sécurité autonomes, combinant l’analyse statique et dynamique de code avec des techniques d’intelligence artificielle pour identifier et exploiter des vulnérabilités de manière semi-automatisée.
Federico Kirschbaum a documenté dans le blog technique de XBOW comment son équipe a mis à profit un LLM pour accélérer certaines phases du développement de l’exploit, notamment la génération et le test de primitives de corruption mémoire. Cette révélation a immédiatement suscité des réactions dans la communauté de sécurité.
Un commentaire posté sur Reddit dans le forum r/linuxadmin résume l’état d’esprit général : «Le gestionnaire BDAT a maintenant été la source de deux CVE à score 9.8. XBOW a montré comment cela peut conduire à un exploit RCE complet, en notant que certains éléments du développement de l’exploit ont été assistés par un LLM pendant leur période de divulgation coordonnée de onze jours.»
Cette utilisation d’IA dans la recherche offensive illustre une tendance documentée : si les défenseurs intègrent l’IA dans leurs outils de détection, les chercheurs en sécurité et, par extension, les acteurs malveillants adoptent les mêmes technologies pour accélérer la chaîne d’exploitation. La fenêtre entre la découverte d’une faille et la disponibilité d’un exploit fonctionnel se réduit structurellement.
Le cas Dead.Letter est particulièrement révélateur : onze jours de divulgation coordonnée ont suffi à produire un PoC complet avec assistance IA, contre des semaines voire des mois pour des exploits comparables découverts sans ces outils dans les années précédentes.
L’historique alarmant d’Exim : cinq ans de failles répétées
Dead.Letter n’est pas un accident isolé. Exim traîne depuis plusieurs années une réputation difficile en matière de sécurité, accumulant les vulnérabilités critiques avec une régularité préoccupante.
En 2021, les chercheurs de Qualys avaient publié le rapport dit des «21 Nails», documentant 21 vulnérabilités distinctes dans Exim, dont dix exploitables à distance. Certaines de ces failles permettaient d’obtenir des privilèges root complets sur le serveur cible en enchaînant plusieurs des vulnérabilités découvertes. À cette époque, Shodan recensait déjà près de 4 millions de serveurs Exim exposés sur Internet.
En 2023, le chercheur anonyme ayant travaillé avec le Zero Day Initiative de Trend Micro avait publié CVE-2023-42115, une écriture hors limites dans le service SMTP, également notée CVSS 9.8. Comme Dead.Letter, cette faille autorisait une exécution de code à distance sans authentification.
En 2019, CVE-2019-10149 avait provoqué une vague d’exploitation active en temps réel. Des millions de serveurs Exim avaient été compromis pour installer des mineurs de cryptomonnaie, des backdoors et des outils d’espionnage. CVE-2019-15846, découverte quelques mois plus tard dans la même année, atteignait également le score CVSS 9.8.
Ce schéma de répétition alerte certains responsables de sécurité sur la dette technique accumulée dans le code d’Exim, notamment dans les composants liés à la gestion des connexions TLS et au traitement des extensions SMTP avancées.
| CVE | Année | CVSS | Type | Versions affectées | Exploitation active |
|---|---|---|---|---|---|
| CVE-2026-45185 (Dead.Letter) | 2026 | 9,8 | Use-after-free / RCE non authentifié | 4.97 – 4.99.2 (GnuTLS) | PoC public, KEV CISA |
| CVE-2023-42115 | 2023 | 9,8 | Écriture hors limites / RCE | Toutes versions (SMTP auth) | Non confirmée |
| CVE-2021-27216 | 2021 | 6,3 | Suppression de fichiers arbitraires (local) | 4.94.2 et antérieures | Non confirmée |
| CVE-2019-15846 | 2019 | 9,8 | Dépassement de tampon TLS / RCE | 4.92.1 et antérieures | Non confirmée |
| CVE-2019-10149 | 2019 | 9,8 | Injection de commande SMTP / RCE | 4.87 – 4.91 | Oui, exploitation massive |
La réponse de l’écosystème : CISA, Exim, Debian et SUSE
La gestion de la divulgation de CVE-2026-45185 illustre comment fonctionne la chaîne de réponse coordonnée dans l’écosystème open source lorsque la découverte est faite par un acteur commercial avec un processus structuré.
Le 1er mai 2026, Federico Kirschbaum signale la faille à l’équipe Exim en privé. Pendant onze jours, des échanges techniques permettent de valider le vecteur d’exploitation et de préparer le correctif. Le 11 mai 2026, Exim publie simultanément la version 4.99.3 et l’avis de sécurité. Le même jour, les équipes de sécurité de Debian, Ubuntu et SUSE publient leurs propres mises à jour de paquets. La CISA ajoute CVE-2026-45185 à son catalogue KEV avec une date limite de correction au 17 juin 2026, soit 37 jours après la divulgation.
L’équipe Exim a précisé dans son avis technique : «Le correctif garantit que la pile de traitement des entrées est réinitialisée proprement lorsqu’une notification de fermeture TLS est reçue pendant un transfert BDAT actif, empêchant les pointeurs périmés d’être utilisés.»
Point notable : Exim confirme qu’il n’existe aucune mesure de contournement efficace autre que la mise à jour vers la version 4.99.3. La désactivation du support CHUNKING/BDAT n’est pas proposée comme alternative viable, car cette fonctionnalité est utilisée par de nombreux clients de messagerie modernes et que sa désactivation affecterait la livraison des courriers.
Concernant le CERT-FR, l’organisme français rattaché à l’ANSSI a publié un avis de sécurité en mai 2026 reprenant les informations techniques et recommandant la mise à jour immédiate. En l’absence de précisions sur le nombre d’organisations françaises exposées, le CERT-FR a adopté une approche prudente en classant la vulnérabilité comme critique pour tous les systèmes Linux basés sur Debian déployant Exim.
Impact sur les organisations françaises et européennes
L’exposition française à Dead.Letter s’explique par plusieurs facteurs structurels. Premièrement, Debian et ses dérivés Ubuntu représentent une part importante du parc serveur des administrations publiques et des collectivités territoriales françaises, notamment dans les environnements privilégiant le logiciel libre. Deuxièmement, Exim est souvent installé par défaut sur ces systèmes pour gérer les courriers locaux, les notifications système et les alertes automatisées.
Dans le secteur privé, de nombreux hébergeurs mutualisés et revendeurs d’hébergement web utilisent Exim sur des serveurs Debian ou Ubuntu pour gérer des milliers de domaines clients. Une compromission de ces serveurs de messagerie permettrait à un attaquant d’intercepter l’ensemble des flux de courrier électronique, d’accéder aux données d’authentification transmises par email, voire d’utiliser l’infrastructure compromise pour des campagnes de spam ou de phishing à grande échelle.
La vulnérabilité est d’autant plus préoccupante dans le contexte réglementaire européen. Le RGPD impose aux organisations traitant des données personnelles par email de garantir la confidentialité et l’intégrité de ces communications. Une compromission de serveur Exim via Dead.Letter constituerait une violation de données à notifier à la CNIL dans les 72 heures, avec des amendes pouvant atteindre 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros.
Le cadre NIS2, en vigueur dans l’Union européenne depuis 2024, classe les opérateurs d’infrastructures de messagerie essentielles parmi les entités soumises à des obligations de sécurité renforcées. Une organisation NIS2 qui n’aurait pas patché Dead.Letter dans des délais raisonnables s’expose à des sanctions supplémentaires de la part des autorités nationales compétentes.
Ce qu’un attaquant peut faire après exploitation
L’exploitation réussie de CVE-2026-45185 donne à l’attaquant une exécution de code arbitraire sur le serveur Exim avec les privilèges du processus Exim. Sur la plupart des configurations Linux, Exim s’exécute initialement sous un compte dédié (généralement exim ou Debian-exim), mais le processus dispose d’accès root fonctionnel pour certaines opérations système essentielles à la livraison du courrier.
Les scénarios d’attaque les plus probables après exploitation incluent :
- Interception de courrier électronique : l’attaquant positionne un hook dans le processus Exim pour capturer tous les messages entrants et sortants, y compris les réinitialisations de mot de passe, les codes de double authentification et les communications confidentielles.
- Déplacement latéral : le serveur de messagerie est souvent connecté à un annuaire LDAP, à une base de données d’authentification ou à d’autres services internes. L’accès au système de fichiers du serveur Exim ouvre des voies vers ces systèmes adjacents.
- Installation de backdoor persistant : un attaquant peut insérer un web shell ou un agent de commande et contrôle dans le service Exim, assurant un accès persistant même après redémarrage.
- Utilisation de l’infrastructure pour du spam ou du phishing : les serveurs de messagerie compromis sont souvent détournés pour envoyer des campagnes de phishing ciblées depuis des domaines légitimes, contournant les filtres antispam.
Un aspect particulièrement risqué concerne les serveurs mutualisés où Exim gère des centaines ou des milliers de domaines clients. Une seule exploitation permet d’accéder à l’ensemble du parc de domaines hébergés, démultipliant l’impact d’une compromission unique.
Comparatif : Exim face aux autres MTA sur le plan de la sécurité
Pour évaluer CVE-2026-45185 dans son contexte, il est utile de comparer Exim aux autres agents de transfert de courrier majoritaires. Postfix et Sendmail dominent également le paysage des MTA open source, mais avec des historiques de sécurité distincts.
| MTA | Exposition Shodan (2026) | Bibliothèque TLS par défaut | CVEs critiques (2019-2026) | Dernière faille CVSS 9+ | Déploiement Debian/Ubuntu |
|---|---|---|---|---|---|
| Exim | ~3,5 millions | GnuTLS (Debian/Ubuntu) | 5+ (dont 21 Nails) | CVE-2026-45185 (9,8) | Paquet par défaut |
| Postfix | ~6 millions | OpenSSL ou GnuTLS | 2 (dont CVE-2023-51764) | CVE-2023-51764 (9,8) | Alternative courante |
| Sendmail | ~200 000 | OpenSSL | 1 (2023) | CVE-2023-2345 (7,5) | Rarement utilisé |
| Courier MTA | ~50 000 | GnuTLS ou OpenSSL | 0 (2019-2026) | N/A | Marginale |
Ce tableau révèle une réalité nuancée. Postfix, souvent présenté comme l’alternative plus sécurisée à Exim, cumule lui aussi une vulnérabilité CVSS 9.8 (CVE-2023-51764) dans son historique récent. La différence notable réside dans la fréquence des incidents critiques : Exim en concentre davantage sur la période 2019-2026, ce qui reflète une surface d’attaque plus complexe liée à la richesse des fonctionnalités d’Exim.
Les administrateurs qui envisagent une migration de MTA pour des raisons de sécurité doivent peser ce compromis : Postfix est généralement considéré comme plus simple et moins exposé, mais sa migration depuis Exim représente un effort significatif de reconfiguration, notamment pour les organisations utilisant les extensions avancées d’Exim comme les filtres Sieve ou les règles de routage complexes.
Les mesures d’urgence à prendre maintenant
La correction de CVE-2026-45185 est disponible depuis le 11 mai 2026. En date du 23 juin 2026, toute organisation n’ayant pas encore appliqué le correctif dépasse la fenêtre recommandée par la CISA, l’ANSSI et l’ENISA.
Mise à jour immédiate sur Debian/Ubuntu :
apt update && apt install --only-upgrade exim4
exim --version | head -1La sortie doit indiquer une version 4.99.3 ou supérieure pour confirmer que le correctif est appliqué.
Vérification de la bibliothèque TLS utilisée :
exim --version | grep -i "support for"Si la sortie indique Support for: GnuTLS et que la version est antérieure à 4.99.3, la mise à jour est impérative. Les organisations dont le build utilise OpenSSL peuvent également appliquer le correctif à titre préventif, même si elles ne sont pas directement vulnérables.
Pour les administrateurs SUSE :
zypper refresh && zypper update eximEn complément de la mise à jour, les équipes sécurité devraient auditer les logs Exim des 40 derniers jours à la recherche de connexions BDAT anormales, notamment des séquences TLS close_notify inhabituelles. Les agents de détection et réponse aux incidents (EDR) et les SIEM devraient être configurés pour alerter sur les tentatives d’exploitation du chemin BDAT.
Pour les organisations incapables d’appliquer immédiatement le correctif, la seule atténuation partielle consiste à restreindre l’accès au port SMTP (25) aux seuls émetteurs légitimes via des règles de pare-feu, réduisant ainsi la surface d’attaque accessible depuis Internet, sans toutefois éliminer le risque.
Trois prédictions pour les prochains mois
1. Une première vague d’exploitation opportuniste d’ici fin juillet 2026. L’existence d’un PoC public, combinée à la présence de 3,5 millions de serveurs exposés dont une fraction n’aura pas encore été corrigée six semaines après la divulgation, crée les conditions idéales pour une campagne d’exploitation automatisée. Le précédent CVE-2019-10149, exploité massivement en quelques semaines pour installer des mineurs de cryptomonnaie, laisse anticiper un schéma similaire. Les groupes spécialisés dans les botnets et le spam seront les premiers à en bénéficier.
2. Des acteurs étatiques exploiteront la faille pour des opérations d’espionnage ciblées sur des serveurs gouvernementaux européens. La précédente vague de compromissions Exim liée aux 21 Nails en 2021 avait été attribuée partiellement à des acteurs soutenus par des États. Dead.Letter, avec sa capacité à intercepter des flux de messagerie confidentiels, constitue un vecteur d’espionnage particulièrement attractif dans le contexte de tensions géopolitiques actuelles impliquant des acteurs russes et chinois actifs en Europe.
3. L’utilisation d’IA dans la découverte de Dead.Letter accélérera l’adoption de ces techniques par d’autres chercheurs et acteurs malveillants. XBOW a documenté publiquement comment un LLM a accéléré le développement de l’exploit. Ce précédent va déclencher des investissements accrus dans les outils d’exploitation assistés par IA. Les équipes défensives devront adapter leurs délais de patch management : un délai de 30 jours, standard actuel pour les CVEs critiques dans de nombreuses organisations, devient insuffisant lorsque les exploits se développent en onze jours avec assistance IA.
Analyse de fond : pourquoi les infrastructures de messagerie restent le maillon faible
Dead.Letter met en lumière une réalité structurelle souvent ignorée dans les stratégies de sécurité des organisations : les serveurs de messagerie concentrent une quantité critique de risques, mais bénéficient rarement du même niveau d’attention que les serveurs web ou les applications métier.
Un serveur Exim expose directement le port 25 (SMTP) sur Internet par conception. Il doit accepter des connexions de n’importe quel expéditeur légitime pour fonctionner. Cette ouverture structurelle en fait une cible permanente, et toute vulnérabilité critique dans le MTA se traduit immédiatement par une exposition à l’ensemble d’Internet.
À titre de comparaison, la chaîne de vulnérabilités Ivanti EPMM, qui avait compromis la Commission européenne et plusieurs gouvernements en janvier 2026, ou encore la faille MOVEit CVE-2026-4670 ayant alerté 3 000 entreprises au printemps 2026, ciblaient des produits soumis à authentification ou à accès réseau restreint. Dead.Letter, elle, opère sur un service exposé par nature à tous les correspondants email du monde.
Cette réalité impose une cadence de patch management radicalement différente pour les MTA : toute vulnérabilité CVSS 8+ devrait déclencher une mise à jour d’urgence dans les 48 heures, sans attendre les fenêtres de maintenance planifiées. Le modèle de risque d’un serveur de messagerie exposé à Internet n’est pas comparable à celui d’une application interne.
Couverture connexe
Articles liés sur shattered.io
- Ivanti EPMM Zero-Day CVSS 9.8 : 5 Secteurs Ciblés en 2026
- MOVEit CVE-2026-4670 : CVSS 9.8, 3 000 Entreprises en Alerte
- CVE-2026-0257 Palo Alto GlobalProtect : Exploit Actif
- NIS2 : France devant la CJUE, 10 000 Entités sous Pression
- Cyberattaque contre la Commission Européenne 2026
- Toute l’actualité cybersécurité sur shattered.io
FAQ : CVE-2026-45185 Dead.Letter
Mon serveur Exim est-il vulnérable à Dead.Letter ?
Oui, si vous utilisez une version Exim antérieure à 4.99.3 compilée avec GnuTLS. C’est le cas par défaut sur Debian et Ubuntu. Vérifiez avec exim --version et mettez à jour immédiatement si la version est inférieure à 4.99.3.
Les builds Exim avec OpenSSL sont-ils affectés ?
Non. CVE-2026-45185 ne touche que les configurations utilisant GnuTLS. Les distributions Red Hat, CentOS, AlmaLinux et Rocky Linux qui compilent Exim avec OpenSSL ne sont pas vulnérables à cette faille spécifique.
Y a-t-il une mesure de contournement si je ne peux pas patcher immédiatement ?
Exim confirme qu’il n’existe aucune mitigation efficace autre que la mise à jour vers la version 4.99.3. La seule atténuation partielle consiste à restreindre l’accès au port 25 aux seuls émetteurs connus via des règles de pare-feu, ce qui n’est viable que pour les serveurs internes.
Comment savoir si mon serveur a été compromis ?
Auditez les logs Exim des 40 derniers jours (depuis début mai 2026) à la recherche de connexions SMTP utilisant l’extension BDAT avec des fermetures TLS anormales. Des connexions entrantes répétées depuis des IP inconnues avec des séquences CHUNKING inhabituelles constituent des indicateurs de compromission potentiels.
La faille a-t-elle déjà été exploitée dans des attaques réelles ?
Aucune exploitation confirmée à grande échelle n’avait été signalée au moment de la rédaction de cet article (23 juin 2026). Cependant, un PoC fonctionnel est publiquement disponible et la CISA a ajouté la faille à son catalogue des vulnérabilités exploitées connues (KEV), indiquant une exploitation anticipée imminente.
Quelle est la différence entre CVE-2026-45185 et les 21 Nails de 2021 ?
Les 21 Nails (2021) représentaient un ensemble de 21 vulnérabilités distinctes, dont certaines nécessitaient un enchaînement de failles pour atteindre une exécution de code root. CVE-2026-45185 est une seule vulnérabilité permettant directement une exécution de code arbitraire non authentifiée via un seul vecteur d’attaque, ce qui la rend plus simple à exploiter.
Dois-je migrer de Exim vers Postfix ?
La migration n’est pas nécessaire si vous appliquez les mises à jour de sécurité rapidement. Postfix a lui aussi connu des vulnérabilités critiques (CVE-2023-51764, CVSS 9.8). La priorité absolue est d’appliquer le correctif Exim 4.99.3 maintenant, puis d’évaluer votre stratégie MTA sur le long terme en tenant compte de vos besoins fonctionnels.
