
На 6 сентября (13:00 MSK) намечен скоординированный с дистрибутивами выпуск обновлений пакетов и объявление корректирующего релиза Exim 4.92.2. До сего времени детальная информация о проблеме не подлежит разглашению. Всем юзерам Exim нужно приготовиться к критической аппарате внепланового обновления.
В данном году это третья критическая уязвимость в Exim. В согласовании с сентябрьским автоматизированным опросом более 2-ух млн. почтовых серверов, толика Exim оформляет 57.13% (год обратно 56.99%), Postfix применяется на 34.7% (34.11%) почтовых серверов, Sendmail — 3.94% (4.24%), Microsoft Exchange — 0.53% (0.68%).
Дополнение: Раскрыты подробности об уязвимости и опубликован корректирующий выпуск Exim 4.92.2. Проблема проявляетcя при включении поддержки TLS и эксплуатируется через передачу
Раскрыты подробности об уязвимости и опубликован корректирующий выпуск Exim 4.92.2. Неувязка проявляетcя при подключении помощи TLS и эксплуатируется сквозь передачу нарочно оформленной строчки SNI, обработка которой приводит к переполнению буфера.
В качестве обходного пути для блокирования уязвимости в секцию ACL «acl_smtp_mail» рекомендуется прибавить:
deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}
deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}
==
Для обновления на CentOS 7 выполните:
yum install exim -y
На Debian, Ubuntu
apt install exim -y