Обновление почтового сервера Exim 4.98.1 с устранением уязвимости

21.02.2025 17:12

Доступен корректирующий выпуск почтового сервера Exim 4.98.1, в котором устранена уязвимость (CVE-2025-26794), позволяющая осуществить подстановку SQL-кода во внутреннюю БД (Hints DB), используемую для хранения информации о состоянии доставки сообщений.

Уязвимость проявляется только в выпуске Exim 4.98 при сборке с опцией "_USE_SQLITE_", включающей использование СУБД SQLite для хранения Hints DB (включено, если при запуске "exim -bV" выводится "Hints DB: Using sqlite3"). Для эксплуатации уязвимости также требуется включение в файле конфигурации SMTP-команды ETRN ("acl_smtp_etrn" должно быть выставлено в "accept") и включение использования сериализации ETRN ("smtp_etrn_serialize" должно быть выставлено в "true").

исправить +10 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/62770-exim

Ключевые слова: exim, mail, smtp

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (23)

1.2, anguest (?), 17:28, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Снес его чертям. Два раза через него ловил криптотроян

2.4, Аноним (4), 18:38, 21/02/2025 [^] [^^] [^^^] [ответить]	+3 +/–
>Два раза через него ловил криптотроян Ты думаешь, что кинул камень в огород exim? На самом деле ты свою истинную "квалификацию" обнародовал :-)

3.7, Аноним (7), 19:14, 21/02/2025 [^] [^^] [^^^] [ответить]	+4 +/–
Расскажи, как квалификация помогает от 0-day. Есть подозрение, что маркером высокой квалификации является как раз отсутствие сабжа в проде.

4.12, Аноним (4), 22:13, 21/02/2025 [^] [^^] [^^^] [ответить]	+/–
>Два раза через него ловил криптотроян >от 0-day Хочешь сказать, что-бы конкретно тебе засадить криптотроян кто-то два раза использовал 0-day эксплоиты? Ну ты и крут, однако!

3.9, Семен (??), 21:02, 21/02/2025 [^] [^^] [^^^] [ответить]	+2 +/–
А чел в общем то прав. Exim это самый дырявый MTA и этим всегда славился. Откройте любой exploitdb и посмотрите. В тех же postfix и sendmail не было найдено критических уязвимостей за последние 10 лет, а в Exim их много.

3.14, Ivan_83 (ok), 23:52, 21/02/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Не, тут правда вечно дырявый софт.

2.5, Аноним (5), 19:05, 21/02/2025 [^] [^^] [^^^] [ответить]	+/–
А через postfix и т.д. письмо с трояном послать не могут?

3.6, Аноним (7), 19:12, 21/02/2025 [^] [^^] [^^^] [ответить]	+2 +/–
В соревнованиях на количество удалённо эксплуатируемых CVE уверенное лидерство у Exim.

4.10, Аноним (10), 22:12, 21/02/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Так из текста уважаемого Анонима не очень видно, он троян получил к себе на почту и установил сам жмакнув на вложении (тоесть екзим как МТА, и тогда как бы пофиг, что там МТА) или таки поломали сам екзим и установили трояна на почтовом сервере...

5.11, Аноним (10), 22:12, 21/02/2025 Скрыто ботом-модератором [к модератору]	+/–

1.8, Аноним (8), 20:53, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ни что так не врезалось в память, как периодические мелькания в новостях по поводу очередной уязвимости Exim, peшeтo какое-то.

1.13, Аноним (13), 23:09, 21/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
"Никогда такого не было, и вот опять!" Если и приходится где-то устанавливать MTA, то только Postfix.

2.16, Аноним (4), 00:35, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
>Если и приходится где-то устанавливать MTA, то только Postfix Когда в следующий раз будешь устанавливать МТА, обрати внимание на количество сторонних "костылей", необходимых Postfix'у, чтобы более-менее соответствовать современным функциям почты (DKIM, DMARC, SPF, SRS, MTA-STS, PRDR, ESMTP_Limits, Content_Scanning, LDAP, Redis, Sqlite - exim это все умеет сам). Потом посчитай CVE не только у голого Postfix, но и у этих сторонних "костылей". Ну а потом здраво рассуди, какой МТА устанавливать.

3.26, B.J. Hunnicutte (?), 09:33, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Т.е. в чудный exim уже засунули и DNS-сервер для SPF?! Не удивительно, что он не вылезает из CVE.

3.27, Аноним (27), 10:21, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Неспециалист, но все же вставлю свои пять копеек. Postfix модульная программа (думаю как qmail), по этому все приблуды отдельными костылями. А как иначе соблюсти безопасность!??

1.15, Аноним (15), 00:27, 22/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А что ж он такой решетчатый-то? Типа, да, Си и все дела, но вот тут в комментариях говорят, что postfix и другие мейлеры не так часто ловят уязвимости. А постфикс тоже на Си

1.17, Аноним (17), 02:07, 22/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
Зачем вообще почтовые сервера кто-то ставит локально? Даже для средней конторы нет в этом смысла. Только для очень больших федерального значения. Ибо тот, кто хоть раз настраивал, знает какая это БОЛЬ собственный почтовый сервер...

2.18, derfenix (ok), 03:49, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Устанавливал, настраивал (в т.ч. DKIM и SPIF) несколько раз. Ничего не болело. ЧЯДНТ?

3.21, Аноним (-), 05:19, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
> Устанавливал, настраивал (в т.ч. DKIM и SPIF) несколько раз. Ничего не болело. > ЧЯДНТ? Видимо, потому что вы это делали на локалхосте?

2.19, Агасья (?), 05:15, 22/02/2025 [^] [^^] [^^^] [ответить]	–1 +/–
ИП Пупкин пытается таким образом сэкономить. А мелкая yokohama-tws, например, славно использует облака и сторонние ресурсы.

3.20, Аноним (-), 05:17, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
Для ИП Пупкин достаточно бесплатной почты на gmail, как и для мелких организаций.

4.25, B.J. Hunnicutte (?), 09:31, 22/02/2025 [^] [^^] [^^^] [ответить]	+/–
ИП Пупкин обычно заводит почту на mail.ru (который у нормальных людей давно в black list) и страдает...

1.24, morphe (?), 07:37, 22/02/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Надо было ставить https://stalw.art/

игнорирование участников | лог модерирования

Добавить комментарий

Текст: