Доступен почтовый сервер Exim 4.83 с устранением уязвимости
Опубликовано 22 Июль 2014 19:15:16
Вышел релиз почтового сервера Exim 4.83, в котором представлена серия улучшений и исправлений, в том числе устранена уязвимость (CVE-2014-2972). В соответствии с данными, полученными в результате автоматизированного опроса более чем двух миллионов почтовых серверов, Exim используется на 48.85% почтовых серверов, доля Postfix составляет 26.70%, Microsoft Exchange - 7.17%, Sendmail - 10.10%.
Источник: http://www.opennet.ru/opennews/art.shtml?num=40250
Уязвимость CVE-2014-2972 вызвана особенностями обработки аргументов перед их использованием в математических функциях сравнения (<, <=, =, =>, >), что позволяло организовать атаку, в результате которой злоумышленник мог получить доступ к операциям с файлами на сервере с правами пользователя exim. Для проявления уязвимости необходимо возникновение условий выполнения операций поиска с использованием вышеотмеченных математических выражений над специально оформленным контентом, возвращаемым подконтрольным злоумышленнику сервером.
Основные новшества:
- В разряд штатных возможностей переведена поддержка SMTP-расширения PRDR (Per-Recipient Data Responses), применяемого для учёта отдельных SMTP-ответов для каждого получателя письма (без PRDR используется один код ответа для письма в целом, без разделения статуса передачи сообщения разным получателям);
- В разряд штатных возможностей переведена поддержка механизма OCSP stapling, позволяющего выполнять проверку статуса TLS/SSL-сертификатов на OCSP-серверах и оперативно реагировать на факты отзыва сертификатов;
- Экспериментальная поддержка расширения DSN (Delivery Status Notifications, RFC 3461), позволяющего отправителю сообщения проконтролировать успешность доставки письма на уровне MTA;
- Экспериментальная поддержка протокола Proxy, при работе через прокси позволяющего передавать IP и имя оригинального хоста в специальном заголовке;
- Поддержка новых операций listextract, utf8clean, md5, sha1;
- Новая опция "verify=header_names_ascii" с реализацией режима принудительного переформатирования заголовков (исключаются не-ASCII символы в заголовках);
- Новая опция командной строки "-oMm" для указания message-id оригинального сообщения (например, из-за которого отправляется bounce-сообщение);
- Поддержка DNS-запросов TLSA;
- Поддержка DNSSEC для исходящих соединений;
- Различные улучшения в поддержке TLS, LDAP и DMARC.
Источник: http://www.opennet.ru/opennews/art.shtml?num=40250
|
|
0 | Tweet | Нравится |
|
