[sisyphus] exim vulnerability

[Victor Forsiuk]

Приветствую,


К сожалению, и exim не миновала чаша сия и в нем обнаружили remote
vulnerability. На самом деле фикс, устраняющий возможность эксплоита, был
добавлен еще в 2008 году в версию 4.70. Единственная ошибка команды
разработчиков exim была в том, что они не придали тогда большого значения
этому исправлению и не анонсировали его как исправление безопасности, в
результате чего до сих пор многие спокойно использовали уязвимую версии -
4.69 и более ранние.

У нас в Сизифе сейчас 4.72 - обновляющие систему из Сизифа могут быть
спокойны. В бранчах, увы, 4.69.

Что делать тем, у кого уязвимые версии? Есть защита от эксплоита - запретить
exim'у логгировать хедера отклоненных писем:

*log_selector = -rejected_header
*
Это, конечно, не более чем быстрая защита, но не окончательное решение
проблемы, поскольку уязвимая функция все равно остается в коде. А, значит,
нет гарантий, что не найдется другой путь добраться до оставшегося там
переполнения буфера.
Поэтому после этого нужно озаботиться апгрейдом exim.

По поводу бранчей. Я бы не стал собирать в бранчи версию 4.69 с бэкпортом
этого конкретного патча (несмотря на известную традицию никогда не поднимать
версии). IMHO, лучше собрать свежий 4.72. exim относится к тем программам,
которые не вносят революционных и непроверенных изменений в новые версии...

Что касается самой сборки. У меня, увы, нет возможности протестировать
сборку на системах с бранчами - в доступности только система с текущим
Сизифом. Поэтому прошу тех, у кого есть такая возможность и кому интересен
exim в бранчах - собрать для бранчей exim по спеку из Сизифа
(exim-4.72-alt1) и потестировать его работоспособность. Собирать "вслепую"
системы такой важности без возможности установки и тестирования я бы не
хотел.
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/sisyphus/attachments/20101216/aaff4330/attachment.html>