The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз почтового сервера Exim 4.73 с устранением уязвимостей"  +/
Сообщение от opennews (ok) on 06-Янв-11, 20:47 
Вышел (http://lists.exim.org/lurker/message/20110105.162854.aa646e3...) релиз SMTP-сервера Exim 4.73 (http://www.exim.org/), в котором устранены две критические уязвимости, обнаруженные (https://www.opennet.ru/opennews/art.shtml?num=28945) в начале декабря. Уязвимости позволяют выполнить код злоумышленника и повысить свои привилегии в системе.


Ошибка, приводившая к первой уязвимости (CVE-2010-4344 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4344)), была устранена в версии 4.70, но не была идентифицирована в то время как уязвимость, что привело к наличию проблемы безопасности в пакетах с Exim из состава дистрибутивов с увеличенным сроком поддержки, таких как  Debian (http://www.debian.org/security/2010/dsa-2131), RHEL (https://rhn.redhat.com/errata/RHSA-2010-0970.html) и CentOS (https://www.centos.org/modules/newbb/viewtopic.php?topic_id=...). Проблема была связана с возможностью вызова переполнения буфера в функции string_vformat и позволяла злоумышленни...

URL: http://lists.exim.org/lurker/message/20110105.162854.aa646e3...
Новость: https://www.opennet.ru/opennews/art.shtml?num=29204

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз почтового сервера Exim 4.73 с устранением уязвимостей"  –1 +/
Сообщение от FSA (ok) on 06-Янв-11, 20:47 
А что с postfix? Давно новостей не видел. Ну на сервере на всякий случай обновляю из портов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Релиз почтового сервера Exim 4.73 с устранением уязвимостей"  +/
Сообщение от Аноним email(??) on 09-Янв-11, 19:27 
мдя... и это Exim - самый "надежный" smtp-сервер...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Релиз почтового сервера Exim 4.73 с устранением уязвимостей"  +/
Сообщение от Zmej email on 10-Янв-11, 10:31 
Он никогда не был самым надежным :)
Всегда считался самым надежным как раз постфикс за его мастер...
Но это уже холивар :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Релиз почтового сервера Exim 4.73 с устранением уязвимостей"  –1 +/
Сообщение от Аноним (??) on 10-Янв-11, 18:04 
Exim всегда считался самым простым в понимании и настройке...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Релиз почтового сервера Exim 4.73 с устранением уязвимостей"  +/
Сообщение от stimpack on 10-Янв-11, 18:48 
а на lenny еще не вышло... :( меня через эту дырку на одном серваке уже поимели...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Релиз почтового сервера Exim 4.73 с устранением уязвимостей"  +/
Сообщение от Andrey Mitrofanov on 10-Янв-11, 22:42 
> а на lenny еще не вышло... :(

Remote code exec. aka CVE-2010-4344 закткнули 10 декабря.

CVE-2010-4345, который [local] privilege escalation, да, [в stable] не заткнули -- обещают только.

http://lists.debian.org/debian-security-announce/2010/msg001...

> меня через эту дырку на одном серваке уже поимели...

:/ Думаем о Вечном, о пожарном плане на случай компромиса.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Релиз почтового сервера Exim 4.73 с устранением уязвимостей"  +/
Сообщение от andryu (ok) on 17-Янв-11, 23:49 
>Вторая уязвимость (CVE-2010-4345), которая исправлена в текущем релизе

Интересно они её исправили - запретили использовать нестандартный конфиг. А я после обновления всю ночь парился, почему перестал работать второй exim с нестандартным конфигом. Оказывается появилась новая опция для сборки exim-а TRUSTED_CONFIG_LIST.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру