Коллеги, в который раз за условно теплый сезон Exim не устаёт «развлекать» нас разными дырами.
Летом мы обновлялись до 4.92 (Срочно обновляйте exim до 4.92 — идёт активное заражение / Хабр)
Не далее как в сентябре до 4.92.2 (Пропатчил Exim — пропатчь еще раз. Свежее Remote Command Execution в Exim 4.92 в один запрос / Хабр)
И вот наконец все эти версии официально устарели / Exim!
Текущая версия 4.92.3, всё остальное (до этой версии) не рекомендуется к использованию.
В последних 4.92 — 4.92.2, до которых так срочно недавно обновлялись (многие не успели и пришлось переустанавливать весь софт, т.е. уязвимость активно эксплуатировалась), обнаружено переполнение буфера.
Чуть подробнее в CVE-2019-16928, там же рекомендации и ссылки для ручного обновления до свежей официальной версии.
На момент написания данной заметки в репозиториях ситуация следующая:
CentOS (RH, Fedora): exim-4.92.2-1.el7.x86_64.rpm 2019-09-06 16:03 1.4M — старая версия, ждём новостей от них!
Ubuntu (19.04 Disco): exim4 (4.92-4ubuntu1.4) — обновление безопасности для CVE-2019-16928!
В Ubuntu 18.x и старше исползуются старые Exim (4.91x и старше), они в описании данной CVE не указаны и, следовательно, конкретно ей не затронуты.
В Debian патченная 4.92.2-3 поехала на тестирование.
UPD: В EPEL 7 тоже на тестировании.
В Arch Linux новая версия появилась ещё позавчера.
Летом мы обновлялись до 4.92 (Срочно обновляйте exim до 4.92 — идёт активное заражение / Хабр)
Не далее как в сентябре до 4.92.2 (Пропатчил Exim — пропатчь еще раз. Свежее Remote Command Execution в Exim 4.92 в один запрос / Хабр)
И вот наконец все эти версии официально устарели / Exim!
Текущая версия 4.92.3, всё остальное (до этой версии) не рекомендуется к использованию.
В последних 4.92 — 4.92.2, до которых так срочно недавно обновлялись (многие не успели и пришлось переустанавливать весь софт, т.е. уязвимость активно эксплуатировалась), обнаружено переполнение буфера.
Чуть подробнее в CVE-2019-16928, там же рекомендации и ссылки для ручного обновления до свежей официальной версии.
На момент написания данной заметки в репозиториях ситуация следующая:
CentOS (RH, Fedora): exim-4.92.2-1.el7.x86_64.rpm 2019-09-06 16:03 1.4M — старая версия, ждём новостей от них!
Ubuntu (19.04 Disco): exim4 (4.92-4ubuntu1.4) — обновление безопасности для CVE-2019-16928!
В Ubuntu 18.x и старше исползуются старые Exim (4.91x и старше), они в описании данной CVE не указаны и, следовательно, конкретно ей не затронуты.
В Debian патченная 4.92.2-3 поехала на тестирование.
UPD: В EPEL 7 тоже на тестировании.
В Arch Linux новая версия появилась ещё позавчера.
