URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 73836
[ Назад ]

Исходное сообщение
"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"

Отправлено opennews , 06-Янв-11 20:47 
Вышел (http://lists.exim.org/lurker/message/20110105.162854.aa646e3...) релиз SMTP-сервера Exim 4.73 (http://www.exim.org/), в котором устранены две критические уязвимости, обнаруженные (http://www.opennet.me/opennews/art.shtml?num=28945) в начале декабря. Уязвимости позволяют выполнить код злоумышленника и повысить свои привилегии в системе.


Ошибка, приводившая к первой уязвимости (CVE-2010-4344 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4344)), была устранена в версии 4.70, но не была идентифицирована в то время как уязвимость, что привело к наличию проблемы безопасности в пакетах с Exim из состава дистрибутивов с увеличенным сроком поддержки, таких как  Debian (http://www.debian.org/security/2010/dsa-2131), RHEL (https://rhn.redhat.com/errata/RHSA-2010-0970.html) и CentOS (https://www.centos.org/modules/newbb/viewtopic.php?topic_id=...). Проблема была связана с возможностью вызова переполнения буфера в функции string_vformat и позволяла злоумышленни...

URL: http://lists.exim.org/lurker/message/20110105.162854.aa646e3...
Новость: http://www.opennet.me/opennews/art.shtml?num=29204


Содержание

Сообщения в этом обсуждении
"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"
Отправлено FSA , 06-Янв-11 20:47 
А что с postfix? Давно новостей не видел. Ну на сервере на всякий случай обновляю из портов.

"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"
Отправлено Аноним , 09-Янв-11 19:27 
мдя... и это Exim - самый "надежный" smtp-сервер...

"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"
Отправлено Zmej , 10-Янв-11 10:31 
Он никогда не был самым надежным :)
Всегда считался самым надежным как раз постфикс за его мастер...
Но это уже холивар :)

"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"
Отправлено Аноним , 10-Янв-11 18:04 
Exim всегда считался самым простым в понимании и настройке...

"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"
Отправлено stimpack , 10-Янв-11 18:48 
а на lenny еще не вышло... :( меня через эту дырку на одном серваке уже поимели...

"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"
Отправлено Andrey Mitrofanov , 10-Янв-11 22:42 
> а на lenny еще не вышло... :(

Remote code exec. aka CVE-2010-4344 закткнули 10 декабря.

CVE-2010-4345, который [local] privilege escalation, да, [в stable] не заткнули -- обещают только.

http://lists.debian.org/debian-security-announce/2010/msg001...

> меня через эту дырку на одном серваке уже поимели...

:/ Думаем о Вечном, о пожарном плане на случай компромиса.


"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"
Отправлено andryu , 17-Янв-11 23:49 
>Вторая уязвимость (CVE-2010-4345), которая исправлена в текущем релизе

Интересно они её исправили - запретили использовать нестандартный конфиг. А я после обновления всю ночь парился, почему перестал работать второй exim с нестандартным конфигом. Оказывается появилась новая опция для сборки exim-а TRUSTED_CONFIG_LIST.