sagredo qmail 2026.04.07 より前のバージョンでは、qmail-remote.c の notlshosts_auto 内の popen により、tls_quit を介したリモートコード実行が可能です。

CVE-2026-41113 は、2026年4月7日以前の Sagredo qmail に存在し、tlsquit メカニズムを介してリモートコード実行 (RCE) を可能にします。この問題は、qmail-remote.c ファイル内の notlshostsauto 関数に存在し、入力検証が不十分な状態で popen 関数が使用されています。攻撃者は、TLS 接続を介して悪意のあるコマンドを送信することで、この脆弱性を悪用できます。これらのコマンドは qmail サーバーによって実行され、システムの完全な侵害につながる可能性があります。攻撃者は機密データにアクセスしたり、サーバー構成を変更したり、他のシステムへの攻撃を開始するためにサーバーを使用したりする可能性があります。CVSS スコア 8.1 は、高いリスクの脆弱性を示しており、迅速な対応が必要です。

Organizations running qmail mail servers, particularly those with publicly accessible instances or those handling sensitive email data, are at risk. This includes small businesses, non-profit organizations, and larger enterprises relying on qmail for their email infrastructure. Systems with outdated qmail installations and inadequate network security controls are particularly vulnerable.

• linux / server:

journalctl -u qmail | grep -i tls_quit

• linux / server:

lsof -i :25 | grep qmail

• linux / server:

ps aux | grep qmail

1. 2026-04-16Disclosure

   disclosure

1. 予約済み2026-04-16
2. 公開日2026-04-16
3. 更新日2026-04-18
4. EPSS 更新日2026-04-24

CVE-2026-41113 を軽減するための解決策は、Sagredo qmail をバージョン 2026.04.07 以降に更新することです。この更新により、popen 関数を使用する前に適切な入力検証を実装することで、脆弱性が修正されます。一時的な措置として、サーバーの動作に不可欠でない場合は tls_quit 機能が無効になることをお勧めします。さらに、サーバーのセキュリティポリシーをレビューおよび強化し、不審なアクティビティを監視およびブロックするためにファイアウォールと侵入検知システムを実装することが重要です。脆弱性が悪用される前に潜在的な脆弱性を特定して対処するために、定期的なセキュリティ監査も不可欠です。