Приветствую,<br><br><br>К сожалению, и exim не миновала чаша сия и в нем обнаружили remote vulnerability. На самом деле фикс, устраняющий возможность эксплоита, был добавлен еще в 2008 году в версию 4.70. Единственная ошибка команды разработчиков exim была в том, что они не придали тогда большого значения этому исправлению и не анонсировали его как исправление безопасности, в результате чего до сих пор многие спокойно использовали уязвимую версии - 4.69 и более ранние.<br>
<br> У нас в Сизифе сейчас 4.72 - обновляющие систему из Сизифа могут быть спокойны. В бранчах, увы, 4.69.<br>
<br>Что делать тем, у кого уязвимые версии? Есть защита от эксплоита - запретить exim'у логгировать хедера отклоненных писем:<br>
<br><b>log_selector = -rejected_header<br></b><br>Это, конечно, не более чем быстрая защита, но не окончательное решение проблемы, поскольку уязвимая функция все равно остается в коде. А, значит, нет гарантий, что не найдется другой путь добраться до оставшегося там переполнения буфера.<br>
Поэтому после этого нужно озаботиться апгрейдом exim.<br><br>По поводу бранчей. Я бы не стал собирать в бранчи версию 4.69 с бэкпортом этого конкретного патча (несмотря на известную традицию никогда не поднимать версии). IMHO, лучше собрать свежий 4.72. exim относится к тем программам, которые не вносят революционных и непроверенных изменений в новые версии...<br>
<br>Что касается самой сборки. У меня, увы, нет возможности протестировать сборку на системах с бранчами - в доступности только система с текущим Сизифом. Поэтому прошу тех, у кого есть такая возможность и кому интересен exim в бранчах - собрать для бранчей exim по спеку из Сизифа (exim-4.72-alt1) и потестировать его работоспособность. Собирать "вслепую" системы такой важности без возможности установки и тестирования я бы не хотел.<br>
<br><br>