OpenForum RSS: Релиз почтового сервера Exim 4.73 с устранением уязвимостей https://opennet.dev/openforum/vsluhforumID3/73836.html Вышел (http://lists.exim.org/lurker/message/20110105.162854.aa646e3f.en.html) релиз SMTP-сервера Exim 4.73 (http://www.exim.org/), в котором устранены две критические уязвимости, обнаруженные (http://www.opennet.ru/opennews/art.shtml?num=28945) в начале декабря. Уязвимости позволяют выполнить код злоумышленника и повысить свои привилегии в системе.<br><br><br>Ошибка, приводившая к первой уязвимости (CVE-2010-4344 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4344)), была устранена в версии 4.70, но не была идентифицирована в то время как уязвимость, что привело к наличию проблемы безопасности в пакетах с Exim из состава дистрибутивов с увеличенным сроком поддержки, таких как Debian (http://www.debian.org/security/2010/dsa-2131), RHEL (https://rhn.redhat.com/errata/RHSA-2010-0970.html) и CentOS (https://www.centos.org/modules/newbb/viewtopic.php?topic_id=29266&forum=37). Проблема была связана с возможностью вызова переполнения буфера в функции string_vformat и позволяла злоумышленни...<br><br>URL: http://lists.e Релиз почтового сервера Exim 4.73 с устранением уязвимостей (andryu) https://opennet.dev/openforum/vsluhforumID3/73836.html#7 Mon, 17 Jan 2011 20:49:06 GMT &gt;Вторая уязвимость (CVE-2010-4345), которая исправлена в текущем релизе<br><br>Интересно они её исправили - запретили использовать нестандартный конфиг. А я после обновления всю ночь парился, почему перестал работать второй exim с нестандартным конфигом. Оказывается появилась новая опция для сборки exim-а TRUSTED_CONFIG_LIST.<br> Релиз почтового сервера Exim 4.73 с устранением уязвимостей (Andrey Mitrofanov) https://opennet.dev/openforum/vsluhforumID3/73836.html#6 Mon, 10 Jan 2011 19:42:27 GMT &gt; а на lenny еще не вышло... :(<br><br>Remote code exec. aka CVE-2010-4344 закткнули 10 декабря.<br><br>CVE-2010-4345, который [local] privilege escalation, да, [в stable] не заткнули -- обещают только.<br><br>http://lists.debian.org/debian-security-announce/2010/msg00181.html<br><br>&gt; меня через эту дырку на одном серваке уже поимели...<br><br>:/ Думаем о Вечном, о пожарном плане на случай компромиса.<br> Релиз почтового сервера Exim 4.73 с устранением уязвимостей (stimpack) https://opennet.dev/openforum/vsluhforumID3/73836.html#5 Mon, 10 Jan 2011 15:48:33 GMT а на lenny еще не вышло... :( меня через эту дырку на одном серваке уже поимели...<br> Релиз почтового сервера Exim 4.73 с устранением уязвимостей (Аноним) https://opennet.dev/openforum/vsluhforumID3/73836.html#4 Mon, 10 Jan 2011 15:04:59 GMT Exim всегда считался самым простым в понимании и настройке...<br> Релиз почтового сервера Exim 4.73 с устранением уязвимостей (Zmej) https://opennet.dev/openforum/vsluhforumID3/73836.html#3 Mon, 10 Jan 2011 07:31:16 GMT Он никогда не был самым надежным :)<br>Всегда считался самым надежным как раз постфикс за его мастер...<br>Но это уже холивар :)<br> Релиз почтового сервера Exim 4.73 с устранением уязвимостей (Аноним) https://opennet.dev/openforum/vsluhforumID3/73836.html#2 Sun, 09 Jan 2011 16:27:07 GMT мдя... и это Exim - самый "надежный" smtp-сервер...<br> Релиз почтового сервера Exim 4.73 с устранением уязвимостей (FSA) https://opennet.dev/openforum/vsluhforumID3/73836.html#1 Thu, 06 Jan 2011 17:47:38 GMT А что с postfix? Давно новостей не видел. Ну на сервере на всякий случай обновляю из портов.<br>