Exim опять уязвим: все версии до 4.92.3 официально устарели

    Коллеги, в который раз за условно теплый сезон Exim не устаёт «развлекать» нас разными дырами.

    Летом мы обновлялись до 4.92 (Срочно обновляйте exim до 4.92 — идёт активное заражение / Хабр)

    Не далее как в сентябре до 4.92.2 (Пропатчил Exim — пропатчь еще раз. Свежее Remote Command Execution в Exim 4.92 в один запрос / Хабр)

    И вот наконец все эти версии официально устарели / Exim!

    Текущая версия 4.92.3, всё остальное (до этой версии) не рекомендуется к использованию.

    В последних 4.92 — 4.92.2, до которых так срочно недавно обновлялись (многие не успели и пришлось переустанавливать весь софт, т.е. уязвимость активно эксплуатировалась), обнаружено переполнение буфера.

    Чуть подробнее в CVE-2019-16928, там же рекомендации и ссылки для ручного обновления до свежей официальной версии.

    На момент написания данной заметки в репозиториях ситуация следующая:
    CentOS (RH, Fedora): exim-4.92.2-1.el7.x86_64.rpm 2019-09-06 16:03 1.4M — старая версия, ждём новостей от них!

    Ubuntu (19.04 Disco): exim4 (4.92-4ubuntu1.4) — обновление безопасности для CVE-2019-16928!

    В Ubuntu 18.x и старше исползуются старые Exim (4.91x и старше), они в описании данной CVE не указаны и, следовательно, конкретно ей не затронуты.

    В Debian патченная 4.92.2-3 поехала на тестирование.

    UPD: В EPEL 7 тоже на тестировании.

    В Arch Linux новая версия появилась ещё позавчера.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 8

      0
      На момент написания данной заметки в репозиториях ситуация следующая:
      CentOS (RH, Fedora): exim-4.92.2-1.el7.x86_64.rpm 2019-09-06 16:03 1.4M — старая версия, ждём новостей от них!

      «Уж полночь близится, а Германа всё нет...»
        0
        Ну да, в UPD к заметке ссылка на тестирование в EPEL 7 — 20 часов назад патч предложен, 7 часов назад ушел на тестирование. Пока ещё не вернулся :)
          +1
          «Ждём-с… До первой звезды!..» © :)))
            0
            Шутка удалась, полночь и впрямь всё ближе! Интересно пишет —
            in testing 14 hours ago
            days to stable 14
            Т.е. через пару недель всё будет? ;)
              0
              Похоже на то… :))

              Видимо, придётся пока ручками…
              0
              С первого дня вроде была, если вы о Fedora говоорите (я сразу свой CentOS 7 обонвил, в первый же день).

              wget kojipkgs.fedoraproject.org//packages/exim/4.92.3/1.el7/x86_64/exim-4.92.3-1.el7.x86_64.rpm
              rpm -Uvh exim-4.92.3-1.el7.x86_64.rpm
                0
                Такая просьба — когда говорите про ручное обновление, имеет смысл в конец добавлять «очевидную» команду перезапуска службы (systemctl restart exim), а то кто-нибудь в пылу обновления скопипастит (хм) и успокоится на этом, забыв перезапустить :)

                Что касается первого дня — всё верно, в koji пакет появляется раньше чем в стабильной ветке, тестирование ещё долго шло :)) судя по логу — https://bugzilla.redhat.com/show_bug.cgi?id=1756656 — для EPEL 7 закончилось только позавчера вечером (почти через 4 дня после начала).
          +1
          Этот почтовик прямо напрашивается в гости к PVS студии!

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое