URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 73836
[ Назад ]

Исходное сообщение
"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"
Отправлено opennews , 06-Янв-11 20:47

Вышел (http://lists.exim.org/lurker/message/20110105.162854.aa646e3...) релиз SMTP-сервера Exim 4.73 (http://www.exim.org/), в котором устранены две критические уязвимости, обнаруженные (https://www.opennet.ru/opennews/art.shtml?num=28945) в начале декабря. Уязвимости позволяют выполнить код злоумышленника и повысить свои привилегии в системе.

Ошибка, приводившая к первой уязвимости (CVE-2010-4344 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4344)), была устранена в версии 4.70, но не была идентифицирована в то время как уязвимость, что привело к наличию проблемы безопасности в пакетах с Exim из состава дистрибутивов с увеличенным сроком поддержки, таких как Debian (http://www.debian.org/security/2010/dsa-2131), RHEL (https://rhn.redhat.com/errata/RHSA-2010-0970.html) и CentOS (https://www.centos.org/modules/newbb/viewtopic.php?topic_id=...). Проблема была связана с возможностью вызова переполнения буфера в функции string_vformat и позволяла злоумышленни...
URL: http://lists.exim.org/lurker/message/20110105.162854.aa646e3...
Новость: https://www.opennet.ru/opennews/art.shtml?num=29204

Содержание

Релиз почтового сервера Exim 4.73 с устранением уязвимостей,FSA, 20:47 , 06-Янв-11
Релиз почтового сервера Exim 4.73 с устранением уязвимостей,Аноним, 19:27 , 09-Янв-11
Релиз почтового сервера Exim 4.73 с устранением уязвимостей,Zmej, 10:31 , 10-Янв-11
Релиз почтового сервера Exim 4.73 с устранением уязвимостей,Аноним, 18:04 , 10-Янв-11
Релиз почтового сервера Exim 4.73 с устранением уязвимостей,stimpack, 18:48 , 10-Янв-11
- Релиз почтового сервера Exim 4.73 с устранением уязвимостей,Andrey Mitrofanov, 22:42 , 10-Янв-11
Релиз почтового сервера Exim 4.73 с устранением уязвимостей,andryu, 23:49 , 17-Янв-11

Сообщения в этом обсуждении

"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"
Отправлено FSA , 06-Янв-11 20:47

А что с postfix? Давно новостей не видел. Ну на сервере на всякий случай обновляю из портов.

"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"
Отправлено Аноним , 09-Янв-11 19:27

мдя... и это Exim - самый "надежный" smtp-сервер...

"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"
Отправлено Zmej , 10-Янв-11 10:31

Он никогда не был самым надежным :)
Всегда считался самым надежным как раз постфикс за его мастер...
Но это уже холивар :)

"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"
Отправлено Аноним , 10-Янв-11 18:04

Exim всегда считался самым простым в понимании и настройке...

"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"
Отправлено stimpack , 10-Янв-11 18:48

а на lenny еще не вышло... :( меня через эту дырку на одном серваке уже поимели...

"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"
Отправлено Andrey Mitrofanov , 10-Янв-11 22:42

> а на lenny еще не вышло... :(
Remote code exec. aka CVE-2010-4344 закткнули 10 декабря.
CVE-2010-4345, который [local] privilege escalation, да, [в stable] не заткнули -- обещают только.
http://lists.debian.org/debian-security-announce/2010/msg001...
> меня через эту дырку на одном серваке уже поимели...
:/ Думаем о Вечном, о пожарном плане на случай компромиса.

"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"
Отправлено andryu , 17-Янв-11 23:49

>Вторая уязвимость (CVE-2010-4345), которая исправлена в текущем релизе
Интересно они её исправили - запретили использовать нестандартный конфиг. А я после обновления всю ночь парился, почему перестал работать второй exim с нестандартным конфигом. Оказывается появилась новая опция для сборки exim-а TRUSTED_CONFIG_LIST.